Questo contratto di trattamento dei dati, comprese le appendici (il “DPA”) è parte dell'Accordo tra il Cliente e l'entità contraente elencata nella Sezione 15 (Entità Contraente) dei Termini e Condizioni Generali, salvo diversa indicazione nel tuo Modulo d'Ordine. In questo DPA, i termini “tu”, “tuo”, o “Cliente” si riferiscono a te (soggetto alla Sezione 1.2 qui sotto), e i termini “noi”, “ci,” “nostro” o “MessageBird” si riferiscono a noi.
1. Scopo, Affiliati del Cliente e Durata
1.1 Ambito. Questo DPA disciplina il trattamento dei Dati Personali del Cliente da parte di MessageBird in qualità di processore.
1.2 Affiliati del Cliente. Il Cliente stipula questo DPA a nome proprio e, nella misura richiesta dalla Legislazione sulla Protezione dei Dati, a nome e per conto dei propri Affiliati (come definito nei Termini), se e nella misura in cui fornisci tali Affiliati accesso ai Servizi e noi trattiamo Dati Personali del Cliente per i quali tali Affiliati qualificano come titolari del trattamento (“Affiliati del Cliente”). Ai fini di questo DPA solo, e salvo diversa indicazione, i termini “Cliente” e “tu” includeranno il Cliente e gli Affiliati.
1.3 Durata. Questo DPA rimarrà in vigore finché MessageBird tratterà Dati Personali del Cliente soggetti a questo DPA, nonostante la scadenza o la risoluzione dell'Accordo.
2. Definizioni
I termini in maiuscolo utilizzati ma non definiti in questo DPA avranno il significato loro attribuito nell'Accordo. I seguenti termini definiti sono utilizzati in questo DPA:
2.1 “CCPA” significa il California Consumer Privacy Act del 2018 e qualsiasi regolamento emanato a esso, in ciascun caso, come modificato di volta in volta.
2.2 “Customer Data” significa qualsiasi dato e altra informazione o contenuto inviato da te o per tuo conto (o da un utente della tua Applicazione Cliente) ai sensi dell'Accordo e trattato o memorizzato dai Servizi.
2.3 “Customer Personal Data” significa i Dati Personali contenuti nei Dati del Cliente. I dati dell'account non sono Dati Personali del Cliente. I dati dell'account sono qualsiasi dato fornito da o per tuo conto a MessageBird in relazione all'ingresso e all'amministrazione dell'Accordo e del tuo account, inclusi, a titolo esemplificativo, informazioni di contatto, dettagli di fatturazione del Cliente e corrispondenza riguardo all'ingresso e all'amministrazione dell'Accordo.
2.4 “Data Protection Legislation” significa tutte le leggi e regolamenti di qualsiasi giurisdizione applicabili alla riservatezza, privacy, sicurezza o trattamento dei Dati Personali ai sensi dell'Accordo, inclusi, ove applicabile, il GDPR, il CCPA e tutte le altre leggi e regolamenti relativi alla privacy, marketing diretto o protezione dei dati.
2.5 “EEA” significa, ai fini di questo DPA, l'Area Economica Europea e la Svizzera.
2.6 “EU Controller-to-Processor Standard Contractual Clauses” significa i moduli “Controller to Processor” (Modulo 2) delle Standard Contractual Clauses for the transfer of Personal Data to third countries ai sensi del GDPR e della Decisione di Esecuzione della Commissione Europea (UE) 2021/914 del 4 giugno 2021.
2.7 “EU Processor-to-Subprocessor Standard Contractual Clauses” significa i moduli “Processor to Processor” (Modulo 3) delle Standard Contractual Clauses for the transfer of Personal Data to third countries ai sensi del GDPR e della Decisione di Esecuzione della Commissione Europea (UE) 2021/914 del 4 giugno 2021.
2.8 “GDPR” significa (i) il Regolamento 2016/679 del Parlamento Europeo e del Consiglio sulla protezione delle persone fisiche rispetto al trattamento dei Dati Personali e sulla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati); o (ii) esclusivamente con riferimento al Regno Unito, il Data Protection Act 2018.
2.9 “LGPD” significa la Lei Geral de Proteção de Dados del 2018 e qualsiasi regolamento emanato a essa, in ciascun caso, come modificato di volta in volta.
2.10 “Personal Data” significa qualsiasi informazione relativa a una persona fisica identificata o identificabile in modo diretto o indiretto.
2.11 “PDPA” significa il Personal Data Protection Act del 2012 e qualsiasi regolamento emanato a essa, in ciascun caso, come modificato di volta in volta.
2.12 “Privacy Statement” significa l'attuale Dichiarazione sulla Privacy per i Servizi, come indicato nella Bird Privacy Statement.
2.13 “Personal Data Breach” significa qualsiasi distruzione, perdita, alterazione, divulgazione, accesso non autorizzato o illegale ai Dati Personali del Cliente.
2.14 “Services” significa tutti i prodotti e servizi forniti da noi o dai nostri Affiliati che sono (a) ordinati da te ai sensi di qualsiasi Modulo d'Ordine; o (b) utilizzati da te.
2.15 “Standard Contractual Clauses” significa (i) le Standard Contractual Clauses EU Controller-to-Processor; o (ii) le Standard Contractual Clauses EU Processor-to-Subprocessor, singolarmente o collettivamente, come applicabile.
2.16 “Subprocessor” significa l'entità che tratta i Dati Personali del Cliente per conto di un'entità che agisce come processore dei dati o un Subprocessor.
2.17 “UK Controller-to-Processor Standard Contractual Clauses” significa le clausole contrattuali standard per il trasferimento di Dati Personali ai processori stabiliti in paesi terzi nella forma stabilita dalla Decisione della Commissione Europea 2010/87/UE, come eventualmente modificata, modificata o sostituita dalla Commissione Europea.
I termini come “trattamento”, “titolare del trattamento”, “responsabile del trattamento”, “interessato”, ecc. avranno il significato loro assegnato sotto il GDPR. La definizione di “titolare del trattamento” include “azienda”, “titolare” e “organizzazione”; "responsabile del trattamento" include “fornitore di servizi”, “responsabile” e “intermediario dei dati”; “interessato” include “consumatore” e “individuo”; e “Dati Personali” include “informazioni personali”, in ciascun caso come definito nel CCPA, LGPD o PDPA.
3. Elaborazione dei Dati Personali dei Clienti
3.1 Scopi. Tratteremo i Dati Personali del Cliente solo nella misura necessaria (i) per fornire i Servizi, inclusa la trasmissione di comunicazioni, garantendo la sicurezza dei servizi, fornendo rapporti tecnici e di consegna, fornendo supporto e sviluppando e implementando miglioramenti e aggiornamenti in conformità con le vostre istruzioni documentate nei nostri confronti come data processor come specificato nella Sezione 3.2 di questo DPA, e (ii) per i nostri legittimi scopi aziendali come specificato nella Sezione 3.4 di questo DPA come data controller. Non vendiamo alcun Dato Personale, inclusi i Dati Personali del Cliente, e non condividiamo Dati Personali con terze parti per compensi o per gli interessi commerciali di queste terze parti.
3.2 Istruzioni. L'Accordo e questo DPA costituiscono le vostre istruzioni complete nei nostri confronti come data processor al momento della firma di questo DPA. Ci conformeremo ad altre istruzioni ragionevolmente documentate a condizione che tali istruzioni siano coerenti con i termini dell'Accordo.
3.3 Dettagli del trattamento. L'Allegato I, Parte B. (Descrizione del trasferimento) di questo DPA specifica ulteriormente la natura e lo scopo del trattamento, le attività di trattamento, la durata del trattamento, i tipi di Dati Personali e le categorie di soggetti interessati da noi come data processor o Subprocessor.
3.4 Legittimi scopi aziendali. Riconoscete che trattiamo i Dati Personali del Cliente come data controller indipendente nella misura necessaria per i seguenti legittimi scopi aziendali: fatturazione, gestione degli account, rendicontazione finanziaria e interna, contrasto e prevenzione di minacce alla sicurezza, attacchi informatici e crimine informatico che possono influenzarci o i nostri servizi, modellazione aziendale (ad es. previsioni, pianificazione della capacità e delle entrate, strategia di prodotto), frode, spam e prevenzione e rilevamento degli abusi, miglioramento del prodotto e per rispettare i nostri obblighi legali.
4. Obblighi del cliente
4.1 Legalità. Quando agisci come titolare del trattamento dei Dati Personali del Cliente, garantisci che tutte le attività di trattamento siano legali, abbiano uno scopo specifico e che siano in atto tutte le notifiche e i consensi richiesti o altre basi legali appropriate per consentire il trasferimento legale dei Dati Personali del Cliente. Se sei un responsabile del trattamento (nel qual caso agirà come Subappaltatore), ti assicurerai che il pertinente titolare del trattamento garantisca che le condizioni elencate in questa Sezione 4.1 siano rispettate.
4.2 Conformità. Sei l'unico responsabile per (a) garantire di rispettare la Legislazione sulla Protezione dei Dati applicabile al tuo utilizzo dei Servizi e al tuo stesso trattamento dei Dati Personali del Cliente, (b) effettuare una valutazione indipendente se le misure tecniche e organizzative dei Servizi soddisfano le tue esigenze e (c) attuare e mantenere misure di privacy e sicurezza per i componenti che fornisci o controlli (inclusi, ma non limitati a, password, dispositivi utilizzati con i Servizi e Applicazioni del Cliente).
5. Sicurezza
5.1 Misure di sicurezza. Tenendo conto dello stato dell'arte, dei costi di attuazione e della natura, portata, contesto e finalità del trattamento, così come del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, attueremo e manterremo appropriate misure di sicurezza tecniche e organizzative per proteggere i Dati Personali dei Clienti da Violazioni dei Dati Personali e per preservare la sicurezza, l'integrità, la disponibilità, la resilienza e la riservatezza dei Dati dei Clienti che i nostri sistemi utilizzano per il trattamento dei Dati dei Clienti. Le misure di sicurezza applicate da noi sono descritte nell'Allegato II.
5.2 Aggiornamenti delle misure di sicurezza. Sei responsabile della revisione delle informazioni fornite da noi relative alla sicurezza dei Dati Personali dei Clienti e di effettuare una valutazione indipendente su se tali informazioni soddisfano i tuoi requisiti e obblighi legali ai sensi della Legislazione sulla Protezione dei Dati. Riconosci che le misure di sicurezza sono soggette a progressi e sviluppi tecnici e che potremmo aggiornare o modificare le nostre misure di sicurezza di tanto in tanto, a condizione che tali aggiornamenti e modifiche non comportino la degradazione della sicurezza complessiva dei Dati Personali dei Clienti.
5.3 Controlli di accesso. Applichiamo i principi del "bisogno di sapere" e del minimo privilegio.
5.4 Riservatezza del trattamento. Ci assicureremo che qualsiasi persona o parte autorizzata da noi a trattare i Dati Personali dei Clienti (incluso il nostro personale, agenti e Subprocessori) sia informata della natura riservata di tali Dati Personali dei Clienti e sarà soggetta a un adeguato obbligo di riservatezza (sia esso un dovere contrattuale o legale) che sopravvive alla cessazione del loro coinvolgimento.
5.5 Risposta e notifica per Violazione dei Dati Personali. Una volta a conoscenza di una Violazione dei Dati Personali, notificheremo senza indugi (i) a te, (ii) indagheremo sulla Violazione dei Dati Personali, (iii) forniremo informazioni tempestive relative alla Violazione dei Dati Personali non appena diventino note o come ragionevolmente richiesto da te, e (iv) adotteremo misure commercialmente ragionevoli per mitigare gli effetti e prevenire la ricorrenza della Violazione dei Dati Personali.
6. Assistenza
6.1 Assistenza per la protezione dei dati. Forniamo assistenza ragionevolmente richiesta per consentirti di adempiere ai tuoi obblighi ai sensi della Legislazione sulla Protezione dei Dati, inclusa la notifica di una Violazione dei Dati Personali, la valutazione del livello appropriato di sicurezza del trattamento e l'assistenza nell'esecuzione di una valutazione d'impatto sulla protezione dei dati pertinente.
6.2 Assistenza con le richieste degli interessati. Ti forniremo un'assistenza ragionevole al fine di consentirti di adempiere ai tuoi obblighi nei confronti degli interessati che esercitano i loro diritti ai sensi della Legislazione sulla Protezione dei Dati, rendendo disponibili misure tecniche e organizzative tramite il tuo account. Per evitare ambiguità, tu, in qualità di titolare del trattamento, sei responsabile del trattamento di qualsiasi richiesta o lamentela da parte degli interessati riguardo ai Dati Personali del Cliente di un interessato.
7. Divulgazione e richieste di divulgazione
7.1 Limitazioni sulla divulgazione e accesso. Non forniremo accesso o divulgheremo i Dati Personali del Cliente tranne che (i) come indicato da te, (ii) come stabilito nel Contratto e in questo DPA, o (iii) come richiesto dalla legge.
7.2 Richieste di divulgazione. Ti notificheremo non appena ragionevolmente possibile se riceviamo una richiesta da un ente governativo o regolatorio di divulgare i Dati Personali del Cliente, a meno che tale notifica non sia vietata dalla legge. Gestiremo le richieste di divulgazione in conformità con la nostra Politica delle Richieste di Divulgazione.
8. Sottoprocessori
8.1 Attuali Subprocessori. Accetti l'impegno dei Subprocessori elencati sotto il titolo "Dati Personali dell'Utente Finale" nella Lista dei Subprocessori di Bird, che contiene anche una procedura per abbonarsi alle notifiche di modifiche al nostro utilizzo dei Subprocessori. Se ti abboni a tali notifiche, e tenendo conto della Sezione 8.3 di questo DPA, condivideremo i dettagli di eventuali cambiamenti nei Subprocessori non appena ragionevolmente possibile.
8.2 Utilizzo dei Subprocessori. Tramite questo DPA, fornisci un'autorizzazione scritta generale a coinvolgerci Subprocessori per il trattamento dei Dati Personali dei Clienti, conformemente alla Sezione 8.3 di questo DPA e ai seguenti requisiti:
a. Restrigiamo l'accesso ai Dati Personali dei Clienti da parte dei Subprocessori a ciò che è strettamente necessario per fornire i servizi specificati nel contratto del subprocessore;
b. Concordiamo obblighi di protezione dei dati con il Subprocessore che sono sostanzialmente gli stessi degli obblighi previsti da questo DPA; e
c. Rimaniamo responsabili nei tuoi confronti ai sensi di questo DPA per l'adempimento degli obblighi di protezione dei dati del Subprocessore.
8.3 Notifica di modifiche ai Subprocessori e diritto di opposizione. Prima di sostituire o coinvolgere nuovi Subprocessori (“Cambio di Subprocessore”), ti daremo l'opzione di opporsi al Cambio di Subprocessore.
Puoi opporsi a un Cambio di Subprocessore a condizione che (i) l'opposizione sia presentata per iscritto entro dieci (10) giorni lavorativi dalla nostra notifica del Cambio di Subprocessore e (ii) l'opposizione si basi su e spieghi chiaramente i motivi ragionevoli relativi alla protezione dei Dati Personali dei Clienti. Quando ti opponi a un Cambio di Subprocessore proposto, lavoreremo con te in buona fede per apportare una modifica commercialmente ragionevole nella fornitura dei Servizi che eviti l'uso del Subprocessore pertinente. Se tale modifica non può essere ragionevolmente effettuata entro trenta (30) giorni lavorativi dalla ricezione della tua notifica di opposizione, o se la modifica è commercialmente irragionevole per noi, ciascuna parte può terminare le funzionalità applicabili dei Servizi che non possono essere fornite senza l'uso del Subprocessore pertinente. Questo diritto di cessazione è il tuo unico ed esclusivo rimedio se ti opponi a un Cambio di Subprocessore.
9. Trasferimenti transfrontalieri dei dati personali dei clienti
9.1 Trasferimenti di Dati Personali dei Clienti. Possiamo trasferire i Dati Personali dei Clienti a condizione che siano in atto tutte le adeguate garanzie richieste dalla Normativa sulla Protezione dei Dati. Questo può includere una valutazione preliminare dell'impatto del trasferimento dei dati, l'adozione, il monitoraggio e la valutazione di misure tecniche, organizzative e legali supplementari, diritti dei soggetti interessati che possano essere fatti valere, e che rimedi legali efficaci per i soggetti interessati siano disponibili.
9.2 Clausole Contrattuali Standard per Subprocessori. A meno che non si applichi una decisione di adeguatezza o un meccanismo alternativo di trasferimento, abbiamo stipulato e manterremo Clausole Contrattuali Standard con i Subprocessori (inclusi i nostri Affiliati) situati al di fuori dello Spazio Economico Europeo (SEE), soggetto ai termini stabiliti nella Sezione 9.1 di questo DPA.
9.3 Meccanismi di Trasferimento per i Trasferimenti di Dati Personali dei Clienti. Nella misura in cui l'utilizzo dei Servizi richiede un meccanismo di trasferimento di dati transfrontaliero per esportare legalmente i Dati Personali dei Clienti da una giurisdizione (ad es. il SEE, California, Singapore, Svizzera, o il Regno Unito) a noi situati al di fuori di quella giurisdizione, questa sezione si applicherà. Se, nell'esecuzione dei Servizi, i Dati Personali dei Clienti soggetti al GDPR o a qualsiasi altra legge relativa alla protezione o alla privacy degli individui che si applica a questo DPA vengono trasferiti a MessageBird situato in paesi che non garantiscono un adeguato livello di protezione dei dati nel significato della Normativa sulla Protezione dei Dati, si applicheranno i meccanismi di trasferimento elencati di seguito a tali trasferimenti e potranno essere fatti valere direttamente dalle parti nella misura in cui tali trasferimenti siano soggetti alla Normativa sulla Protezione dei Dati:
9.3.1 Le parti concordano che le Clausole Contrattuali Standard si applicheranno ai Dati Personali dei Clienti che vengono trasferiti tramite i Servizi dal SEE o dalla Svizzera, sia direttamente che tramite successivo trasferimento, a un'entità di MessageBird situata in un paese al di fuori del SEE o della Svizzera che non è riconosciuto dalla Commissione Europea (o, nel caso di trasferimenti dalla Svizzera, dall'autorità competente per la Svizzera) come fornitore di un adeguato livello di protezione per i dati personali.
9.3.1.1 Quando agisci come titolare del trattamento e MessageBird è un responsabile del trattamento, le Clausole Contrattuali Standard per Titolari e Responsabili del Trattamento dell'UE si applicheranno a qualsiasi trasferimento di Dati Personali dei Clienti dal SEE. Quando agisci come responsabile del trattamento e MessageBird è un subprocessore, si applicheranno le Clausole Contrattuali Standard per Responsabili e Subprocessori a qualsiasi trasferimento di Dati Personali dei Clienti dal SEE.
9.3.1.2 MessageBird sarà considerato l'importatore di dati e tu sarai considerato l'esportatore di dati ai sensi delle Clausole Contrattuali Standard. La firma di ciascuna parte di questo DPA sarà considerata come firmare le Clausole Contrattuali Standard applicabili, che saranno considerate incorporate in questo DPA. I dettagli richiesti ai sensi dell'Allegato 1 e dell'Allegato 2 alle Clausole Contrattuali Standard sono disponibili nell'Appendice I e nell'Appendice II di questo DPA. In caso di conflitto o inconsistenza tra questo DPA e le Clausole Contrattuali Standard, le Clausole Contrattuali Standard prevarranno esclusivamente rispetto al trasferimento di Dati Personali dei Clienti dal SEE.
9.3.1.3 Dove le Clausole Contrattuali Standard richiedono alle parti di scegliere tra clausole opzionali e di inserire informazioni, le parti lo hanno fatto come indicato di seguito:
La Clausola Opzionale 7 “Clausola di docking” non sarà adottata.
Per la Clausola 9 “Uso di subprocessori”, le parti scelgono la seguente opzione: “Opzione 2 Autorizzazione scritta generale: l'importatore di dati ha l'autorizzazione generale del titolare per l'impegno di subprocessore(i) da un elenco concordato. L'importatore di dati informerà specificamente il titolare per iscritto di eventuali cambiamenti previsti a tale elenco attraverso l'aggiunta o la sostituzione di subprocessori almeno 10 giorni lavorativi in anticipo, dando così al titolare un tempo sufficiente per poter opporsi a tali cambiamenti prima dell'impegno dei subprocessori. L'importatore di dati fornirà all'esportatore di dati le informazioni necessarie per consentire all'esportatore di esercitare il proprio diritto di opposizione. L'importatore di dati informerà l'esportatore di dati dell'impegno dei subprocessori.”
Per la Clausola 11 (a) “Rimedi”, le parti non adottano l'Opzione.
Per la Clausola 17 “Legge applicabile”, le parti scelgono la seguente opzione: “Opzione 1. Queste Clausole saranno regolamentate dalla legge di uno degli Stati membri dell'UE, a condizione che tale legge consenta diritti di beneficiario per terzi. Le Parti concordano che questa sarà la legge dei Paesi Bassi.”
Per la Clausola 18 (b) “Scelta di Foro e Giurisdizione”: “Le Parti concordano che queste saranno le corti dei Paesi Bassi.”
9.3.2 Le parti concordano che le Clausole Contrattuali Standard per Titolari e Responsabili del Trattamento del Regno Unito si applicheranno ai Dati Personali dei Clienti trasferiti tramite i Servizi dal Regno Unito, sia direttamente che tramite trasferimento successivo, a un'entità di MessageBird situata in un paese al di fuori del Regno Unito che non è riconosciuto dall'autorità regolatrice competente del Regno Unito o dall'organo governativo del Regno Unito come fornitore di un adeguato livello di protezione per i dati personali.
9.3.2.1 MessageBird sarà considerato l'importatore di dati e tu sarai considerato l'esportatore di dati ai sensi delle Clausole Contrattuali Standard per Titolari e Responsabili del Trattamento del Regno Unito. La firma di ciascuna parte di questo DPA sarà considerata come firmare le Clausole Contrattuali Standard per Titolari e Responsabili del Trattamento del Regno Unito, che saranno considerate incorporate in questo DPA. I dettagli richiesti ai sensi dell'Allegato 1 e dell'Allegato 2 alle Clausole Contrattuali Standard per Titolari e Responsabili del Trattamento del Regno Unito sono disponibili nell'Appendice I e nell'Appendice II di questo DPA. In caso di conflitto o inconsistenza tra questo DPA e le Clausole Contrattuali Standard per Titolari e Responsabili del Trattamento del Regno Unito, le Clausole Contrattuali Standard per Titolari e Responsabili del Trattamento del Regno Unito prevarranno esclusivamente rispetto al trasferimento di Dati Personali dei Clienti dal Regno Unito.
10. Audit
10.1 Rapporto di Audit. La nostra piattaforma di comunicazione sarà regolarmente auditata secondo lo standard ISO 27001:2013 (o equivalente). L'audit può, a nostra sola discrezione, essere un audit interno o un audit eseguito da una terza parte. Su richiesta scritta, ti forniremo un riepilogo del/i rapporto/i di audit (“Rapporto di Audit”), in modo che tu possa verificare la nostra conformità agli standard di audit e a questo DPA. Tale rapporti di audit, così come qualsiasi conclusione o risultato specificato, sono la nostra Informazione Riservata.
10.2 Richieste di informazioni del cliente. Metteremo a tua disposizione tutte le informazioni ragionevolmente necessarie per dimostrare la conformità agli obblighi stabiliti in questo DPA. Forniremo risposte scritte a richieste ragionevoli di informazioni fatte da te, comprese le risposte a questionari di sicurezza delle informazioni e audit che sono ragionevoli nel loro ambito e necessari per confermare la conformità a questo DPA, a condizione che tu (i) abbia prima compiuto uno sforzo ragionevole per ottenere le informazioni richieste dalla Documentazione, dai Rapporti di Audit e da altre informazioni fornite o pubblicate da noi, e (ii) non eserciterai questo diritto più di una volta all'anno, a meno che una Violazione dei Dati Personali o un cambiamento significativo nelle nostre attività di trattamento relative ai Servizi richiedano l'esecuzione di un questionario aggiuntivo. Tutte le risposte fornite sono la nostra Informazione Riservata.
10.3 Audit del cliente. Se un Rapporto di Audit fornito da noi a te ti dà motivi fondati di credere che siamo in violazione dei nostri obblighi ai sensi di questo DPA, relativi ai Dati Personali del Cliente forniti da te, consentiremo a un revisore indipendente e qualificato nominato da te e approvato da noi, di auditare le attività di trattamento dei Dati Personali applicabili, a condizione che siano soddisfatte le seguenti condizioni:
a. Ci darai un preavviso ragionevole di almeno sessanta (60) giorni prima di esercitare il diritto di audit;
b. L'auditor accetta obblighi di riservatezza standard di mercato con noi;
c. Tu e l'auditor prendete misure per minimizzare l'interruzione delle nostre operazioni commerciali;
d. L'audit sarà effettuato durante l'orario lavorativo normale;
e. Non saremo obbligati a fornire accesso ai dati dei clienti di altri clienti o a sistemi non coinvolti nella fornitura dei Servizi; e
f. Tu dovrai pagare tutti i costi dell'audit.
11. Cancellazione e Restituzione dei Dati Personali del Cliente
Al termine o alla scadenza dell'Accordo, noi (a tua scelta) elimineremo o ti restituiremo tutti i Dati Personali del Cliente (comprese le copie) in nostro possesso o controllo, fermo restando che questo requisito non si applicherà nella misura in cui siamo obbligati dalla legge a trattenere alcuni o tutti i Dati Personali del Cliente. Se ci istruisci di eliminare i Dati Personali del Cliente, i Dati Personali del Cliente archiviati sui nostri sistemi di backup saranno protetti da ulteriori elaborazioni e verranno eliminati quando sarà scaduto il periodo di retention richiesto.
12. Comunicazione e diritti degli affiliati dei clienti
L'ingresso in questo DPA a nome e per conto di un'Affiliata Cliente come previsto nella Sezione 1.2 costituisce un DPA separato tra noi e quella Affiliata Cliente, soggetto ai seguenti termini:
12.1. Comunicazione. Il Cliente che è la parte contraente dell'Accordo rimarrà responsabile del coordinamento di tutte le comunicazioni con noi ai sensi di questo DPA e avrà diritto a effettuare e ricevere qualsiasi comunicazione in relazione a questo DPA per conto delle sue Affiliati Clienti.
12.2 Diritti delle Affiliate Clienti. Quando un'Affiliata Cliente diventa parte di questo DPA con noi, essa avrà, nella misura richiesta dalla Legislazione sulla Protezione dei Dati, il diritto di esercitare i diritti e cercare rimedi ai sensi di questo DPA, soggetto ai seguenti termini:
(i) Salvo che la Legislazione sulla Protezione dei Dati richieda all'Affiliata Cliente di esercitare un diritto o cercare un rimedio ai sensi di questo DPA contro MessageBird direttamente da sola, le parti concordano che (i) solo il Cliente che è la parte contraente dell'Accordo eserciterà qualsiasi diritto o cercherà un rimedio per conto dell'Affiliata Cliente, e (ii) il Cliente che è la parte contraente dell'Accordo eserciterà qualsiasi diritto ai sensi di questo DPA in modo non separato per ciascuna Affiliata Cliente ma in modo combinato per sé stesso e tutte le sue Affiliate Clienti insieme.
(ii) Le parti concordano che il Cliente che è la parte contraente dell'Accordo, quando viene effettuata un'audit in loco delle procedure rilevanti per la protezione dei Dati Personali dei Clienti per suo conto come stabilito nella Sezione 10.3 di questo DPA, adotterà tutte le misure ragionevoli per limitare qualsiasi impatto su di noi combinando, nella misura ragionevolmente possibile, diverse richieste di audit effettuate per conto di sé stesso e di tutte le sue Affiliate Clienti in un unica audit.
Per chiarezza, un'Affiliata Cliente non diventa una parte contraente dell'Accordo.
13. Legge sulla Privacy del Consumatore della California
Facciamo i seguenti impegni aggiuntivi nei tuoi confronti riguardo al trattamento dei Dati Personali dei Clienti nel rispetto del CCPA.
13.1 Le nostre Obbligazioni. Ci conformeremo al CCPA e tratteremo tutti i Dati Personali dei Clienti soggetti al CCPA (“Dati Personali CCPA”) in conformità con le disposizioni del CCPA. Rispetto ai Dati Personali CCPA, siamo un fornitore di servizi ai sensi del CCPA. Non venderemo (a) i Dati Personali CCPA; (b) conserveremo, utilizzeremo o divulgheremo qualsiasi Dato Personale CCPA per scopi diversi da quello specifico di fornire i Servizi, inclusa la conservazione, l'utilizzo o la divulgazione dei Dati Personali CCPA per un fine commerciale diverso dalla fornitura dei Servizi; o (c) conserveremo, utilizzeremo o divulgheremo i Dati Personali CCPA al di fuori della nostra relazione commerciale diretta con te. Il trattamento dei Dati Personali CCPA autorizzato dalle tue istruzioni nelle Condizioni e questo DPA è parte integrante della nostra fornitura dei Servizi. Accetti e riconosci che il nostro accesso ai Dati dei Clienti non costituisce parte del corrispettivo scambiato ai sensi del Contratto. Nella misura in cui eventuali dati di utilizzo siano considerati Dati Personali CCPA, siamo l'azienda rispetto a tali dati e tratteremo tali dati in conformità con la nostra Informativa sulla Privacy. I termini “azienda”, “fine commerciale”, “fornitore di servizi” e “vendere” come usati in questa Sezione 13.1 hanno i significati loro attribuiti nel CCPA. Entrambe le parti certificano di comprendere e di conformarsi agli obblighi e alle restrizioni stabiliti in questo DPA e nel Contratto come richiesto ai sensi del CCPA.
13.2 Obbligazioni del Cliente. Dichiari e garantisci di aver fornito notifica all'Utente Finale che i Dati Personali sono utilizzati o condivisi in conformità con i termini e le condizioni previste nella Sezione 1798.140(t)(2)(C)(i) del CCPA. Sei responsabile della conformità con i requisiti del CCPA applicabili a te come titolare del trattamento.
14. Legge applicabile e risoluzione delle controversie
Sezione 13 dei Termini si applicherà a qualsiasi controversia derivante da o relativa a questo DPA, salvo diversa richiesta dalla legislazione sulla protezione dei dati.
APPENDICE I - DETTAGLI DEL TRATTAMENTO
Quando applicabile, questo Allegato 1 servirà come Allegato I alle Clausole Contrattuali Standard SEE.
Allegato I, Parte A. Elenco delle Parti
Esportatore di dati: Cliente
Dettagli di contatto dell'esportatore di dati: L'indirizzo elencato nell'account del Cliente, o l'indirizzo email del proprietario dell'account del Cliente, o agli indirizzi email per i quali il Cliente ha scelto di ricevere avvisi ai sensi dell'Accordo.
Ruolo dell'esportatore di dati: Il ruolo dell'esportatore di dati è descritto nella Sezione 4 del DPA.
Firma e data: Se e quando applicabile, si considera che l'esportatore di dati abbia firmato le Clausole Contrattuali Standard incorporate nel presente documento a partire dalla Data di Efficacia del DPA.
Importatore di dati: MessageBird B.V.
Dettagli di contatto dell'importatore di dati: Trompenburgstraat 2-C, 1079TX, Amsterdam, Paesi Bassi, Responsabile della Protezione dei Dati - privacy@bird.com
Ruolo dell'importatore di dati: L'importatore di dati agisce come responsabile del trattamento.
Firma e data: Se e quando applicabile, si considera che l'importatore di dati abbia firmato le Clausole Contrattuali Standard incorporate nel presente documento a partire dalla Data di Efficacia del DPA.
Allegato I, Parte B. Descrizione del Trasferimento
1. Categorie di soggetti i cui Dati Personali vengono trasferiti: Utenti. Persone di contatto del Cliente (persone fisiche) o dipendenti, collaboratori o lavoratori temporanei (attuali, prospettici, passati) che utilizzano i Servizi attraverso l'account del Cliente (“Utenti”); Utenti Finali. Qualsiasi individuo (i) i cui dettagli di contatto sono inclusi nell’elenco contatti del Cliente; (ii) le cui informazioni sono memorizzate o raccolte attraverso i Servizi, o (ii) a cui il Cliente invia comunicazioni o con cui interagisce o comunica attraverso i Servizi (collettivamente, “Utenti Finali”). Sei tu, il Cliente, a determinare esclusivamente le categorie di soggetti i cui dati sono inclusi nella comunicazione inviata tramite la nostra piattaforma di comunicazione.
2. Categorie di Dati Personali trasferiti: Dati Personali del Cliente contenuti nel, contenuto della comunicazione, dati di traffico, dati degli Utenti Finali e dati di utilizzo del cliente. Contenuto della comunicazione, che può includere Dati Personali o altre caratteristiche personalizzate, a seconda del contenuto della comunicazione come determinato da te come Cliente. Dati di traffico, che possono includere Dati Personali del Cliente riguardanti l’instradamento, la durata o il periodo di una comunicazione come chiamata vocale, SMS o email, sia che si riferisca a un individuo o a un'azienda. Dati degli Utenti Finali, come numero di telefono, indirizzo email, nome, cognome, nome profilo, paese, identificativo canale. Dati di utilizzo del Cliente, possono contenere dati che possono essere collegati a te come individuo inclusi in dati statistici e informazioni relative al tuo account e alle attività del servizio, intuizioni relative al servizio e rapporti analitici riguardanti le comunicazioni inviate e l'assistenza clienti.
3. Dati sensibili trasferiti (se applicabile) e restrizioni o tutela applicate che tengono pienamente in considerazione la natura dei dati e i rischi coinvolti, come per esempio rigorose limitazioni agli scopi, restrizioni di accesso (incluso accesso solo per il personale che ha seguito una formazione specializzata), mantenendo un registro di accesso ai dati, restrizioni per trasferimenti successivi o ulteriori misure di sicurezza.
(a) Contenuto della comunicazione. I dati sensibili possono, di volta in volta, essere trattati tramite i Servizi dove tu o i tuoi Utenti Finali decidete di includere dati sensibili nelle comunicazioni che vengono trasmesse utilizzando i Servizi. Sei responsabile della garanzia che siano in atto salvaguardie adeguate prima di trasmettere o trattare, o prima di consentire ai tuoi Utenti Finali di trasmettere o trattare dati sensibili tramite i Servizi, in conformità alla Sezione 3.2 dell'Accordo.
(b) Dati di traffico, dati degli Utenti Finali e dati di utilizzo del cliente. Non vi sono dati sensibili contenuti nei dati di traffico, nei dati degli Utenti Finali o nei dati di utilizzo del cliente.
4. La frequenza del trasferimento (ad esempio, se i dati sono trasferiti una tantum o in modo continuo): I Dati Personali del Cliente vengono trasferiti in modo continuo per la durata dell'Accordo.
5. Natura del trattamento: Tratteremo i Dati Personali del Cliente nella misura necessaria per fornire i Servizi ai sensi dell'Accordo. Non vendiamo alcun Dato Personale, compresi i Dati Personali del Cliente, e non condividiamo Dati Personali con terzi per compenso o per interessi commerciali di tali terzi.
6. Scopo(i) del trasferimento dei dati e ulteriore trattamento: Tratteremo i Dati Personali del Cliente come responsabile del trattamento in conformità alle istruzioni del Cliente come stabilito in questo DPA, a meno che il trattamento sia necessario per adempiere a un obbligo legale al quale siamo soggetti, nel qual caso ci classificheremo come titolari del trattamento.
Contenuto della comunicazione, dati di traffico, Dati degli Utenti Finali e dati di utilizzo del cliente. I Dati Personali contenuti nel contenuto della comunicazione, nei dati di traffico, nei dati degli Utenti Finali e nei dati di utilizzo del cliente saranno soggetti alle seguenti attività di trattamento base:
(a) Contenuto della comunicazione. La fornitura di prodotti e servizi di comunicazione programmabili, offerti sotto forma di interfacce di programmazione delle applicazioni (API) o tramite il Dashboard, al Cliente, inclusa la trasmissione da o verso l'applicazione software del Cliente dalla o alla nostra piattaforma di comunicazione, e altre reti di comunicazione.
(b) Dati di traffico. I dati di traffico vengono trattati ai fini della trasmissione di comunicazioni su una rete di comunicazione elettronica o per la fatturazione relativa a quella comunicazione. Questo può includere Dati Personali del Cliente riguardanti l’instradamento, la durata o il periodo di una comunicazione come chiamata vocale, SMS o email, sia che si riferisca a un individuo o a un'azienda.
(c) Dati degli Utenti Finali. I Dati Personali degli Utenti Finali sono necessari per eseguire i Servizi e saranno trattati solo per le finalità di trasmissione della comunicazione, supporto clienti e assicurazione della conformità agli obblighi legali di MessageBird.
(d) Dati di utilizzo del Cliente. I Dati Personali contenuti nei dati di utilizzo del cliente saranno soggetti alle attività di trattamento fornite per i Servizi ai sensi dell'Accordo, con l'obiettivo di fornire al Cliente informazioni relative ai Servizi e rapporti analitici riguardanti le comunicazioni inviate, l'assistenza clienti e il miglioramento continuo dei Servizi.
7. Il periodo per il quale i Dati Personali saranno conservati, o, se non è possibile, i criteri utilizzati per determinare tale periodo:
(a) Contenuto della comunicazione e dati di traffico. Per il contenuto del cliente e i dati di traffico contenuti nei Servizi SMS e Voice si applica un periodo di conservazione di sei mesi;
Per i Servizi di 24sessions il contenuto e i dati di traffico dei clienti vengono conservati per un minimo di 30 giorni fino alla durata concordata con te;
Per tutti gli altri servizi, il contenuto del cliente e i dati di traffico sono conservati per la durata dei Servizi, tranne se tu non elimini il contenuto del cliente o i dati di traffico tramite le misure tecniche e organizzative fornite a te tramite i Servizi.
(b) Dati degli Utenti Finali. I dati degli Utenti Finali saranno trattati per la durata determinata dal Cliente, quando i dati degli Utenti Finali sono inclusi nei profili di contatto, il periodo di conservazione predefinito è per la durata dei Servizi, soggetto alla Sezione 6(c) del presente Allegato I, Parte B.
(c) Dati di utilizzo del Cliente. Alla cessazione dell'Accordo, potremmo mantenere, utilizzare e divulgare i Dati di Utilizzo del Cliente per le finalità stabilite nella Sezione 6(d) del presente Allegato I, Parte B, soggetti agli obblighi di riservatezza stabiliti nell'Accordo. Anonimizzeremo o cancelleremo i dati di utilizzo del cliente quando non ne avremo più bisogno per le finalità stabilite nella Sezione 6(d) del presente Allegato I, Parte B.
8. Per i trasferimenti a (sub)responsabili del trattamento, specifica anche l'oggetto, la natura e la durata del trattamento: Per i trasferimenti a Subprocessori, l'oggetto e la natura del trattamento sono delineati nella Lista dei Subprocessori di Bird, e la durata di tale trattamento corrisponde alla durata dell'Accordo.
Allegato I, Parte C. Autorità di Vigilanza Competente
L'Autorità Olandese per la Protezione dei Dati (Autoriteit Persoonsgegevens) sarà l'autorità di vigilanza competente.
ALLEGATO II AI TERMINI CONTRATTUALI STANDARD
Dove possibile, questo Allegato II servirà come Allegato II alle Clausole Contrattuali Standard. Quanto segue fornisce ulteriori informazioni riguardo alle nostre misure di sicurezza tecniche e organizzative stabilite di seguito.
Misure di Sicurezza Tecniche e Organizzative:
Misure di pseudonimizzazione e protezione dei Dati Personali in archiviazione e transito: Tutti i Dati Personali sono crittografati in transito e a riposo e, nella misura in cui siano rilevanti dal punto di vista della sicurezza, trattati come se fossero classificati come dati sensibili. Le informazioni vengono sempre trasmesse tramite TLS con metodologie di crittografia aggiornate per impostazione predefinita.
Misure per garantire la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di elaborazione: stipuliamo accordi che contengono disposizioni di riservatezza con i nostri dipendenti, appaltatori, fornitori, e Subprocessori. La nostra politica di continuità aziendale è di preparare la nostra azienda e i servizi in caso di interruzioni prolungate causate da fattori al di fuori del nostro controllo e di ripristinare i servizi nel modo più ampio possibile in un breve lasso di tempo. Comprendiamo che i servizi che forniamo sono critici per i nostri clienti e quindi abbiamo una tolleranza molto bassa per le interruzioni del servizio. I nostri tempi di recupero sono progettati per garantire che possiamo soddisfare i nostri obblighi verso tutti i nostri clienti.
Processi per testare, valutare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza dei processi: L'obiettivo della sicurezza delle informazioni e del nostro Sistema di Gestione della Sicurezza delle Informazioni (ISMS) è proteggere la riservatezza, integrità e disponibilità delle informazioni per l'organizzazione, i dipendenti, i partner, i clienti e i sistemi informativi (autorizzati), e minimizzare il rischio di danni tramite la prevenzione di incidenti di sicurezza e la gestione delle minacce e vulnerabilità alla sicurezza. Il nostro team legale, il Responsabile della Protezione dei Dati e il Team di Sicurezza e Conformità si assicurano che le normative e gli standard applicabili siano considerati nei nostri frame di sicurezza.
Misure per identificazione e autorizzazione degli utenti: Seguiamo i principi del “necessità di sapere“ e “minimo privilegio”. Promuoviamo l'uso di controlli di accesso basati sui ruoli. L'approvvigionamento e la revoca sono supervisionati dal team di sicurezza, con Single-Sign-On e 2FA per impostazione predefinita. Sono state definite delle persone responsabili per ciascun asset informativo che sono responsabili di garantire che l'accesso ai loro sistemi sia appropriato e riesaminato regolarmente. Ogni volta che si gestiscono informazioni sensibili o si intraprendono azioni critiche, utilizziamo il principio delle quattro occhi.
Misure per garantire la registrazione degli eventi: I log di audit sono archiviati e monitorati centralmente su base regolare per eventi di sicurezza e sono mantenuti sicuri per evitare il rischio di manomissione. La Politica di Gestione degli Incidenti impone il piano di risposta agli incidenti e le sue procedure. Queste linee guida vengono seguite se si verifica un qualsiasi tipo di incidente di sicurezza o tecnico. In caso di incidenti di sicurezza, verranno esaminati regolarmente dal Comitato Direttivo per la Sicurezza, che è composto da stakeholder senior provenienti da tutta l'azienda.
Misure per garantire la configurazione dei sistemi, inclusa la configurazione predefinita: Seguiamo un consistente processo di gestione del cambiamento per tutte le modifiche all'ambiente di produzione della Piattaforma di Comunicazione come Servizio. Per elaborare ulteriormente, tutte le richieste di cambiamento (RFC) devono essere approvate da una parte designata ed eseguite secondo il processo di controllo delle modifiche formale. Il processo di controllo assicura che le modifiche proposte siano riesaminate, autorizzate, testate, implementate e rilasciate in modo controllato; e che lo stato di ciascuna modifica proposta sia monitorato. Le linee guida di configurazione vengono seguite per configurare in modo sicuro i sistemi seguendo le migliori pratiche. Inoltre, all'interno del dipartimento Engineering, viene utilizzato un radar tecnologico per definire quali tecnologie (linguaggi, strumenti di piattaforma, database e strumenti di gestione dei dati) possono essere adottate o devono essere evitate durante lo sviluppo.
Misure per la sicurezza fisica: Promuoviamo attivamente una politica di “Lavorare da qualsiasi luogo” in modo che i nostri dipendenti siano liberi di lavorare da qualsiasi posto vogliano. Tuttavia, abbiamo ancora i nostri uffici. Non abbiamo aree sicure/dati data center nei nostri locali poiché siamo una società completamente basata sul cloud. I nostri piani degli uffici sono protetti da controlli di accesso fisici, CCTV e sicurezza presidiata.
Misure per la governance e gestione della sicurezza IT e IT interna: Manteniamo un programma di sicurezza basato su valutazioni del rischio, che include salvaguardie amministrative, organizzative, tecniche e fisiche progettate per proteggere i Servizi e la riservatezza, integrità e disponibilità dei Dati dei Clienti. Il nostro programma di sicurezza delle informazioni è impostato in modo sistematico e ben organizzato. Inoltre, si applicano requisiti legali e normativi per garantire la riservatezza, integrità e disponibilità delle informazioni per l'organizzazione, i dipendenti, i partner e i clienti. Tutto ciò è tradotto nelle nostre politiche, procedure e linee guida di sicurezza delle informazioni. Abbiamo un Comitato Direttivo per la Sicurezza che è responsabile del livello tattico della sicurezza delle informazioni. Questo comporta il coordinamento delle attività di sicurezza delle informazioni e la traduzione delle attività strategiche in attività operative per la nostra sicurezza, e il nostro continuo mantenimento della conformità regolamentare. Tutti i dipendenti sono responsabili della salvaguardia degli asset dell'azienda. Tutti i nostri dipendenti vengono sottoposti a screening per expertise, esperienza e integrità. I dipendenti vengono informati sulla sicurezza e la protezione dei dati durante la fase di onboarding, nonché tramite formazione specifica per il team regolare, e altre presentazioni aziendali per sottolineare l'importanza della protezione dei dati e della conformità alla sicurezza. MessageBird è certificata ISO/IEC 27001:2013, gli standard di sicurezza delle informazioni riconosciuti a livello globale per i Sistemi di Gestione della Sicurezza delle Informazioni (ISMS).
Tutti i nostri fornitori di hosting sono conformi a ISO/IEC 27001:2013.
Siamo inoltre registrati presso l'Autorità Olandese per i Consumatori e i Mercati. Ciò significa che siamo sempre responsabili e completamente trasparenti con i nostri clienti.
Siamo membri associati del Groupe Speciale Mobile Association (GSMA). Il GSMA rappresenta gli interessi degli operatori mobili in tutto il mondo. Siamo sempre aggiornati su tutte le leggi e normative applicabili, inclusa la Regolamentazione Generale sulla Protezione dei Dati.
Misure per certificazioni/garanzia di processi e prodotti: Sottoponiamo a rigorosi controlli di sorveglianza e audit di certificazione come parte della nostra conformità a ISO/IEC 27001:2013 e eseguiamo regolarmente test di vulnerabilità delle applicazioni e di penetrazione. MessageBird adotta un approccio unificato alla gestione delle patch e delle vulnerabilità per garantire che le nostre linee temporali SLA standard siano mantenute che esistano vulnerabilità nella nostra infrastruttura di base, piattaforme operative o codice sorgente.
Misure per la sicurezza delle applicazioni: Garantiamo la sicurezza delle nostre applicazioni durante la fase di progettazione e sviluppo basata sulle Linee Guida del Codice Sicuro di MessageBird.
Correzioni appropriate vengono implementate prima del rilascio.
Le modifiche al codice sono esaminate da individui esperti (che sono familiari con la revisione del codice e lo sviluppo sicuro) diversi dagli sviluppatori originari.
Le applicazioni saranno sottoposte a rigorosi test di sicurezza delle applicazioni per identificare eventuali nuove minacce e vulnerabilità almeno annualmente (in conformità con gli standard e le migliori pratiche del settore).
Tutte le modifiche al codice per le applicazioni che vengono trasferite negli ambienti di produzione vengono esaminate utilizzando processi manuali e/o automatizzati.
I test di penetrazione vengono effettuati annualmente e su base caso per caso per nuovi prodotti/funzionalità. Strumenti di analisi automatizzati del codice sorgente vengono utilizzati per rilevare difetti di sicurezza nel codice prima del dispiegamento, in base al linguaggio.
Misure per la divulgazione delle vulnerabilità: Apprezziamo i ricercatori di sicurezza che hanno trovato vulnerabilità sulla nostra piattaforma per contattarci e inviarci le loro scoperte a security@bird.com. Abbiamo un team di sicurezza dedicato che segue e invia inviti al nostro programma di bug bounty per indagare e rimediare dove necessario.
Misure per garantire la responsabilità: implementiamo politiche di sicurezza delle informazioni e di protezione dei dati in conformità alle leggi applicabili e pubblichiamo una panoramica delle informazioni pertinenti al nostro ISMS nella nostra documentazione Bird. Abbiamo nominato un VP dedicato, Conformità e Sicurezza delle Informazioni e un Responsabile della Protezione dei Dati, e mantenere la documentazione delle nostre attività di trattamento, compresa la registrazione e la segnalazione di incidenti di sicurezza che coinvolgono Dati Personali ove applicabile.
