Questo Accordo sul Trattamento dei Dati, inclusi gli allegati, (“DPA”) fa parte dell'Accordo tra noi e il Cliente per l'acquisto di servizi di comunicazione (online) da noi forniti per riflettere l'accordo delle Parti riguardo al trattamento dei Dati Personali del Cliente. In questo DPA, i termini “tu”, “tuo” o “Cliente” si riferiscono a te come nostro Cliente (soggetto alla Sezione 1.2 di seguito), e i termini “noi”, “ci” o “nostro” si riferiscono a noi come Fornitore (come definito di seguito). I termini in maiuscolo utilizzati in questo DPA ma non definiti di seguito sono definiti nei nostri Termini e Condizioni Generali o in altro Accordo con noi che disciplina l'uso dei Servizi da parte tua.
1.1 Ambito
Questo DPA regola il trattamento dei Dati Personali del Cliente da parte nostra in qualità di responsabile del trattamento.
1.2 Affiliati dei clienti
Il Cliente entra in questo DPA per conto proprio e, nella misura necessaria ai sensi delle Leggi sulla Protezione dei Dati, a nome e per conto delle sue Affiliate (come definite nei Termini), se e nella misura in cui fornisci tali Affiliate l'accesso ai Servizi e noi elaboriamo i Dati Personali del Cliente per i quali tali Affiliate qualificano come titolare del trattamento (“Affiliate del Cliente”). Ai fini del presente DPA, e tranne dove diversamente indicato, i termini “Cliente” e “tu” includeranno il Cliente e le Affiliate del Cliente.
1.3 Termini
Questo DPA rimarrà in vigore finché elaboriamo i Dati Personali del Cliente soggetti a questo DPA, nonostante la scadenza o la risoluzione dell'Accordo.
2. Definizioni
Dati dell'Account
“Dati dell'Account” sono qualsiasi Dato Personale fornito da te o per tuo conto a noi in relazione all'ingresso e alla gestione dell'Accordo e del tuo account, inclusi ma non limitati a informazioni di contatto, dettagli di fatturazione e corrispondenza riguardante l'ingresso e la gestione dell'Accordo e dei Servizi correlati.
CCPA
"CCPA" significa il California Consumer Privacy Act del 2018 e qualsiasi regolamento promulgato di conseguenza, in ciascun caso, così come modificato di volta in volta.
Dati del Cliente
“Dati del Cliente” significa qualsiasi dato e altra informazione o contenuto inviato da te o per tuo conto (o da un utente della tua Applicazione per Clienti) sotto l'Accordo e elaborato o memorizzato dai Servizi.
Dati Personali del Cliente
“Dati Personali del Cliente” significa Dati Personali contenuti nei Dati del Cliente elaborati da noi come processore, salvo diverso accordo in questo DPA.
Leggi sulla Protezione dei Dati
“Leggi sulla Protezione dei Dati” significano tutte le leggi e i regolamenti di qualsiasi giurisdizione applicabili alla riservatezza, privacy, sicurezza o elaborazione dei Dati Personali ai sensi dell'Accordo, inclusi, a titolo esemplificativo e dove applicabile, il GDPR o il CCPA.
SEE
“SEE” significa, ai fini di questo DPA, lo Spazio Economico Europeo e la Svizzera.
GDPR
“GDPR” significa o (i) il Regolamento 2016/679 del Parlamento Europeo e del Consiglio sulla protezione delle persone fisiche rispetto al trattamento dei Dati Personali e alla libera circolazione di tali dati (Regolamento Generale sulla Protezione dei Dati); oppure (ii) esclusivamente per quanto riguarda il Regno Unito, il Data Protection Act 2018.
Dati Personali
“Dati Personali” significano qualsiasi informazione relativa a una persona fisica identificata o identificabile direttamente o indirettamente, sia da sola che in combinazione con altre informazioni.
Violazione dei Dati Personali
“Violazione dei Dati Personali” significa qualsiasi distruzione, perdita, alterazione, divulgazione o accesso accidentale, non autorizzato o illecito ai Dati Personali del Cliente e qualsiasi altro termine simile ai sensi delle Leggi sulla Protezione dei Dati applicabili, come “Violazione della Sicurezza.”
Servizi
“Servizi” significa tutti i prodotti e i servizi forniti da noi o dai nostri Affiliati che sono (a) ordinati da te ai sensi di qualsiasi Modulo d'Ordine; oppure (b) utilizzati da te.
Fornitore
“Fornitore” significa la nostra entità contraente che è parte di questo DPA, ossia l'entità contraente elencata nella Sezione 15 nei Termini e Condizioni Generali (Entità Contraente), salvo diverso accordo nel tuo Modulo d'Ordine. Tu o il Fornitore possono anche essere indicati singolarmente come “Parte” e insieme come “Parti” in questo DPA.
Clausole Contrattuali Standard
“Clausole Contrattuali Standard” significano il Controllore al Processore (Modulo Due) o il Processore al Processore (Modulo Tre), se applicabile, delle Clausole Contrattuali Standard per il trasferimento dei Dati Personali verso paesi terzi ai sensi del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio approvato dalla Decisione di Esecuzione della Commissione Europea (UE) 2021/914 del 4 Giugno 2021, come attualmente illustrato nel Gazzetta Ufficiale dell'Unione Europea.
Sub-processore
“Sub-processore” significa un'entità terza che elabora i Dati Personali del Cliente per conto del Fornitore dove il Fornitore agisce come processore di dati o sub-processore.
Clausole Contrattuali Standard del Regno Unito
“Clausole Contrattuali Standard del Regno Unito” significano qualsiasi o tutte le seguenti: (i) accordo per il trasferimento internazionale dei dati emesso dal Commissario per le informazioni del Regno Unito ai sensi della sezione 119A del DPA 2018; (ii) l'addendum per il trasferimento internazionale dei dati alle clausole contrattuali standard della Commissione Europea per i trasferimenti internazionali di dati emesso dal Commissario per le informazioni del Regno Unito ai sensi della sezione 119A del DPA 2018; o (iii) tali disposizioni contrattuali standard emesse dal Commissario per le informazioni del Regno Unito o dalla Commissione Europea che possono sostituirle di volta in volta. Termini come “trattamento”, “controllore dei dati”, “processore di dati”, “soggetto dei dati”, ecc. avranno il significato assegnato loro ai sensi del GDPR. La definizione di “controllore dei dati” include “azienda”, “consumatore”, “controllore”, e “organizzazione”; "processore di dati" include “fornitore di servizi”, “processore”, e “intermediario di dati”; “soggetto dei dati” include “consumatore”, e “individuo”; e “Dati Personali” includono “informazioni personali”, in ciascun caso come definito ai sensi del CCPA, e di altre Leggi sulla Protezione dei Dati applicabili. I termini “scopo commerciale”, “scopo commerciale”, “vendere,” e “condividere” avranno lo stesso significato nelle Leggi sulla Protezione dei Dati applicabili e, in ciascun caso, i loro termini correlati saranno interpretati di conseguenza.
3. Elaborazione dei Dati Personali dei Clienti
3.1 Scopi
Tratteremo i Dati Personali del Cliente solo nella misura necessaria (i) per fornire i Servizi, inclusa la trasmissione di comunicazioni, garantendo la sicurezza dei servizi, fornendo rapporti tecnici e di consegna, fornendo supporto e sviluppando e implementando miglioramenti e aggiornamenti in conformità con le tue istruzioni documentate forniteci come responsabili del trattamento come specificato nella Sezione 3.2 di questo DPA, (ii) per i nostri legittimi scopi aziendali come specificato nella Sezione 3.4 di questo DPA come titolare del trattamento e (iii) come altrimenti richiesto dalla legge applicabile.
3.2 Istruzioni del Cliente
Il Contratto e questo DPA costituiscono le tue istruzioni complete nei nostri confronti come responsabili del trattamento al momento della firma di questo DPA. Ci conformeremo ad altre istruzioni documentate ragionevolmente, a condizione che tali istruzioni siano coerenti con i termini del Contratto.
3.3 Dettagli del Trattamento
Allegato I, Parte B (Descrizione del trasferimento) dell'Allegato I di questo DPA specifica la natura e lo scopo del trattamento da parte nostra come responsabili del trattamento o sotto-trattamento, le attività di trattamento, la durata del trattamento, i tipi di Dati Personali e le categorie di soggetti interessati.
3.4 Legittimi Scopi Aziendali
Riconosci che trattiamo i Dati Personali del Cliente come titolari autonomi del trattamento nella misura necessaria per i seguenti legittimi scopi aziendali: fatturazione, gestione degli account, reportistica finanziaria e interna, lotta e prevenzione delle minacce alla sicurezza, attacchi informatici e crimine informatico che possono influenzare te, noi o i nostri servizi, modellazione aziendale (ad es. previsione, pianificazione della capacità e dei ricavi, e strategia di prodotto), prevenzione e rilevamento di frodi, spam e abusi, miglioramento della nostra gamma di prodotti e servizi, e per rispettare i nostri obblighi legali.
4. Obblighi del Cliente
4.1 Legalità
Dove agisci come titolare del trattamento dei Dati Personali dei Clienti, garantisci che tutte le attività di trattamento siano lecite, abbiano uno scopo specifico e che siano in atto tutte le eventuali informative e autorizzazioni o altre basi giuridiche appropriate per consentire il trasferimento lecito dei Dati Personali dei Clienti. Se sei un responsabile del trattamento (nel qual caso agiremo come Sub-responsabile), garantirai che il titolare del trattamento pertinente garantisca che le condizioni elencate in questa Sezione 4.1 siano soddisfatte.
4.2 Conformità
Sei l'unico responsabile per (a) garantire di rispettare le Leggi sulla Protezione dei Dati applicabili al tuo utilizzo dei Servizi e al tuo stesso trattamento dei Dati Personali dei Clienti, (b) effettuare una valutazione indipendente se le misure tecniche e organizzative dei Servizi soddisfano i tuoi requisiti e (c) implementare e mantenere misure di privacy e sicurezza per i componenti che fornisci o controlli (inclusi, a titolo esemplificativo, le password, i dispositivi utilizzati con i Servizi e le Applicazioni dei Clienti).
5. Sicurezza
5.1 Misure di Sicurezza
Tenendo conto dello stato dell'arte, dei costi di implementazione e della natura, dello scopo, del contesto e degli obiettivi del trattamento, così come del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, implementeremo e manterremo misure di sicurezza tecniche e organizzative appropriate per proteggere i Dati Personali dei Clienti da Violazioni dei Dati Personali e per preservare la sicurezza, l'integrità, la disponibilità, la resilienza e la riservatezza dei Dati dei Clienti che i nostri sistemi utilizzano per il trattamento dei Dati Personali dei Clienti. Le misure di sicurezza che applichiamo sono descritte nell'Appendice II.
5.2 Aggiornamenti delle Misure di Sicurezza
Sei responsabile della revisione delle informazioni messe a disposizione da noi riguardanti la sicurezza dei Dati Personali dei Clienti e del fare una valutazione indipendente riguardo se tali informazioni soddisfano le tue esigenze e obblighi legali ai sensi delle Leggi sulla Protezione dei Dati. Riconosci che le misure di sicurezza sono soggette a progresso e sviluppo tecnico, e che possiamo aggiornare o modificare le nostre misure di sicurezza di tanto in tanto, a condizione che tali aggiornamenti e modifiche non comportino la degradazione della sicurezza complessiva dei Dati Personali dei Clienti.
5.3 Controllo degli Accessi
Applichiamo i principi di “necessità di sapere” e “privilegio minimo” garantendo che l'accesso ai Dati Personali dei Clienti sia limitato a quel personale necessario per la fornitura dei Servizi e in linea con l'Accordo, compreso questo DPA.
5.4 Riservatezza del Trattamento
Ci assicureremo che qualsiasi persona o parte autorizzata da noi a trattare i Dati Personali dei Clienti (inclusi il nostro personale, agenti e Sub-processori) sia informata della natura riservata di tali Dati Personali dei Clienti e sarà soggetta a un appropriato obbligo di riservatezza (sia un dovere contrattuale che statutario) che sopravvive alla cessazione del loro impegno.
5.5 Risposta e Notifica di Violazione dei Dati Personali
Appena diventiamo a conoscenza di una Violazione dei Dati Personali, provvederemo senza indebito ritardo
(i) a notificarti,
(ii) a indagare sulla Violazione dei Dati Personali,
(iii) a fornire informazioni tempestive relative alla Violazione dei Dati Personali man mano che diventano note o come ragionevolmente richiesto da te, e (iv) a prendere misure commercialmente ragionevoli per mitigare gli effetti e prevenire il ripetersi della Violazione dei Dati Personali.
6. Assistenza
6.1 Assistenza per la protezione dei dati
Ti forniremo assistenza ragionevolmente richiesta per consentirti di adempiere ai tuoi obblighi ai sensi delle leggi sulla protezione dei dati, compresa la notifica di una violazione dei dati personali, la valutazione del livello appropriato di sicurezza del trattamento e l'assistenza nell'esecuzione di una valutazione d'impatto sulla protezione dei dati pertinente.
6.2 Assistenza con i diritti dei soggetti interessati
Ti forniremo assistenza ragionevole per consentirti di adempiere ai tuoi obblighi nei confronti dei soggetti interessati che esercitano i propri diritti ai sensi delle leggi sulla protezione dei dati, rendendo disponibili misure tecniche e organizzative tramite il tuo account. Per evitare ambiguità, tu, in quanto titolare del trattamento, sei responsabile del trattamento di qualsiasi richiesta o reclamo da parte dei soggetti interessati riguardo ai dati personali del cliente di un soggetto interessato.
7. Divulgazione e richieste di divulgazione
7.1 Limitazioni sulla divulgazione e accesso
Non forniremo accesso o divulgheremo i Dati Personali del Cliente, eccetto (i) come indicato da te, (ii) come stabilito nell'Accordo e in questo DPA, o (iii) come richiesto dalla legge.
7.2 Richieste di divulgazione
Ti informeremo non appena ragionevolmente possibile se riceviamo una richiesta da un ente governativo o di regolamentazione per divulgare i Dati Personali del Cliente, a meno che tale notifica non sia vietata dalla legge. Gestiremo le richieste di divulgazione in conformità con la politica di richiesta di divulgazione, disponibile sul nostro sito web qui.
8. Sub-processori
8.1 Elenco dei Sub-processori Correnti
Accetti l'impegno dei Sub-processori in relazione ai Servizi, elencati nella nostra panoramica dei Sub-processori, che contiene anche una procedura per abbonarsi alle notifiche di modifiche al nostro uso dei Sub-processori. Se ti abboni a tali notifiche, e tenendo conto della Sezione 8.3 di questo DPA, condivideremo i dettagli di qualsiasi modifica ai Sub-processori il prima possibile.
8.2 Nomina dei Sub-processori
Mediante questo DPA, fornisci un'autorizzazione scritta generale per noi per ingaggiare Sub-processori per il trattamento dei Dati Personali del Cliente, soggetti alla Sezione 8.3 di questo DPA e ai seguenti requisiti:
Restrigiamo l'accesso ai Dati Personali del Cliente da parte dei Sub-processori a quanto è strettamente necessario per fornire i servizi specificati nell'accordo con il sub-processore;
Concordiamo obblighi di protezione dei dati con il Sub-processore che siano sostanzialmente gli stessi degli obblighi previsti da questo DPA; e
Rimaniamo responsabili nei tuoi confronti ai sensi di questo DPA per l'adempimento degli obblighi di protezione dei dati del Sub-processore.
8.3 Notifica delle Modifiche ai Sub-processori e Diritto di Opposizione
Prima di sostituire o ingaggiare nuovi Sub-processori (“Modifica del Sub-processore”), ti daremo l'opzione di opporsi alla Modifica del Sub-processore. Puoi opporsi a una Modifica del Sub-processore a condizione che (i) l'opposizione sia fatta per iscritto entro dieci (10) giorni lavorativi dalla nostra comunicazione della Modifica del Sub-processore e (ii) l'opposizione sia basata su e spieghi chiaramente i motivi ragionevoli relativi alla protezione dei Dati Personali del Cliente. Quando ti opponi a una proposta di Modifica del Sub-processore, lavoreremo con te in buona fede per apportare una modifica commercialmente ragionevole nella fornitura dei Servizi che eviti l'uso del relativo Sub-processore. Se tale modifica non può essere ragionevolmente effettuata entro trenta (30) giorni lavorativi dalla nostra ricezione della tua comunicazione di opposizione, o se la modifica è commercialmente irragionevole per noi, ciascuna parte può risolvere le funzionalità applicabili dei Servizi che non possono essere fornite senza l'uso del relativo Sub-processore. Questo diritto di risoluzione è il tuo unico ed esclusivo rimedio se ti opponi a una Modifica del Sub-processore.
9. Trasferimenti transfrontalieri dei dati personali dei clienti
9.1 Trasferimenti di Dati Personali dei Clienti
Possiamo trasferire Dati Personali dei Clienti a condizione che tutte le salvaguardie appropriate richieste dalle Leggi sulla Protezione dei Dati siano in atto. Ciò può includere una valutazione dell'impatto del trasferimento dei dati precedente, l'adozione, il monitoraggio e la valutazione di misure tecniche, organizzative e legali supplementari, diritti dei soggetti interessati direttamente applicabili e che siano disponibili rimedi legali efficaci per i soggetti interessati.
9.2 Clausole Contrattuali Standard per Sub-processori
Salvo che si applichi una decisione di adeguatezza o un meccanismo di trasferimento alternativo, come il Framework per la Privacy dei Dati UE-USA, abbiamo stipulato e manterremo Clausole Contrattuali Standard con i Sub-processori (inclusi i nostri Affiliati) situati al di fuori dello Spazio Economico Europeo (SEE), soggetti ai termini stabiliti nella Sezione 9.1 di questo DPA.
9.3 Meccanismi di Trasferimento per Trasferimenti di Dati Personali dei Clienti
Nella misura in cui l'uso dei Servizi richieda un meccanismo di trasferimento di dati transfrontaliero per esportare legalmente Dati Personali dei Clienti da una giurisdizione (ad es. SEE, California, Singapore, Svizzera o Regno Unito) a noi situati al di fuori di quella giurisdizione, si applicherà questa sezione. Se, nello svolgimento dei Servizi, Dati Personali dei Clienti soggetti al GDPR o a qualsiasi altra legge relativa alla protezione o alla privacy delle persone che si applica a questo DPA vengono trasferiti a un'entità Fornitrice situata in paesi che non garantiscono un adeguato livello di protezione dei dati nel senso delle Leggi sulla Protezione dei Dati, si applicheranno i meccanismi di trasferimento elencati di seguito per tali trasferimenti e potranno essere direttamente applicati dalle parti nella misura in cui tali trasferimenti siano soggetti alle Leggi sulla Protezione dei Dati.
9.3.1
Le parti concordano che le Clausole Contrattuali Standard si applicheranno ai Dati Personali dei Clienti trasferiti tramite i Servizi dal SEE o dalla Svizzera, sia direttamente che tramite trasferimento successivo, a un'entità Fornitrice situata in un paese al di fuori del SEE o della Svizzera che non è riconosciuto dalla Commissione Europea (o, nel caso di trasferimenti dalla Svizzera, dall'autorità competente per la Svizzera) come fornitore di un adeguato livello di protezione per i dati personali.
9.3.1.1
Quando agisci come titolare del trattamento e noi siamo un responsabile del trattamento, il Modulo Due del Trasferimento dei Dati dell'UE (Controller-to-Processor) delle Clausole Contrattuali Standard si applicherà a qualsiasi trasferimento di Dati Personali dei Clienti dal SEE. Quando agisci come responsabile del trattamento e noi siamo un sub-responsabile, il Modulo Tre del Trasferimento dei Dati (Processor-to-Processor) delle Clausole Contrattuali Standard si applicherà a qualsiasi trasferimento di Dati Personali dei Clienti dal SEE.
9.3.1.2
Saranno considerati importatore di dati e l'altra parte sarà considerata esportatore di dati secondo le Clausole Contrattuali Standard. La firma di questo DPA da parte di ciascuna parte sarà trattata come la firma delle Clausole Contrattuali Standard applicabili, che saranno ritenute incorporate nel presente DPA. I dettagli richiesti ai sensi dell'Allegato 1 e dell'Allegato 2 delle Clausole Contrattuali Standard sono disponibili nell'Appendice I e nell'Appendice II di questo DPA. In caso di conflitto o incoerenza tra questo DPA e le Clausole Contrattuali Standard, le Clausole Contrattuali Standard prevarranno esclusivamente con riferimento a un trasferimento di Dati Personali dei Clienti dal SEE.
9.3.1.3
Quando le Clausole Contrattuali Standard richiedono alle parti di scegliere tra clausole opzionali e di inserire informazioni, le parti lo hanno fatto come indicato di seguito:
i. La Clausola Opzionale 7 “Clausola di docking” non sarà adottata.
ii. Per la Clausola 9 “Uso dei sub-processori”, le parti scelgono la seguente opzione: “Opzione 2 Autorizzazione scritta generale: l'importatore di dati ha l'autorizzazione generale del titolare per l'impegno di sub-processori da un elenco concordato. L'importatore di dati informerà specificamente il titolare per iscritto di eventuali modifiche intenzionate a tale elenco tramite l'aggiunta o la sostituzione di sub-processori con un preavviso di almeno 10 giorni lavorativi, dando così al titolare tempo sufficiente per obiettare a tali modifiche prima dell'impegno dei sub-processori. L'importatore di dati fornirà all'esportatore di dati le informazioni necessarie per consentire all'esportatore di dati di esercitare il proprio diritto di obiezione. L'importatore di dati informerà l'esportatore di dati dell'impegno dei sub-processori.”
iii. Per la Clausola 11 (a) “Rimedi”, le parti non adottano l'Opzione.
iv. Per la Clausola 17 “Legge applicabile”, le parti scelgono la seguente opzione: “Opzione 1. Queste Clausole saranno regolate dalla legge di uno degli Stati membri dell'UE, a condizione che tale legge consenta diritti di beneficiario di terzi. Le parti concordano che questa sarà la legge dei Paesi Bassi.”
v. Per la Clausola 18 (b) “Scelta del Foro e Giurisdizione”: “Le parti concordano che queste saranno le corti dei Paesi Bassi.”
9.3.2
Le parti concordano che le Clausole Contrattuali Standard del Regno Unito si applicheranno ai Dati Personali dei Clienti trasferiti tramite i Servizi dal Regno Unito, sia direttamente che mediante trasferimenti successivi, a un'entità Fornitrice situata in un paese al di fuori del Regno Unito che non è riconosciuta dall'autorità regolamentare competente del Regno Unito o da un organismo governativo del Regno Unito come fornitore di un adeguato livello di protezione per i dati personali.
9.3.2.1
Saremo considerati l'importatore di dati e tu sarai considerato l'esportatore di dati secondo le Clausole Contrattuali Standard del Regno Unito. La firma di questo DPA da parte di ciascuna parte sarà trattata come la firma delle Clausole Contrattuali Standard del Regno Unito, che saranno ritenute incorporate in questo DPA. I dettagli richiesti ai sensi delle Clausole Contrattuali Standard del Regno Unito sono disponibili nell'Appendice I e nell'Appendice II di questo DPA. In caso di conflitto o incoerenza tra questo DPA e le Clausole Contrattuali Standard del Regno Unito, le Clausole Contrattuali Standard del Regno Unito prevarranno esclusivamente con riferimento al trasferimento di Dati Personali dei Clienti dal Regno Unito.
10. Audit
10.1 Rapporto di Audit
La nostra piattaforma di comunicazione sarà regolarmente sottoposta ad audit in base allo standard ISO 27001 (o equivalente). L'audit può, a nostra esclusiva discrezione, essere un audit interno, o un audit eseguito da una terza parte. Su richiesta scritta, forniremo un riepilogo del/i rapporto/i di audit (“Rapporto di Audit”), in modo che tu possa verificare la nostra conformità con gli standard di audit e questo DPA. Tali Rapporti di Audit, così come qualsiasi conclusione o risultato specificato in essi, sono nostre Informazioni Riservate.
10.2 Richieste di Informazioni da Parte del Cliente
Metteremo a tua disposizione tutte le informazioni ragionevolmente necessarie per dimostrare la conformità con gli obblighi stabiliti in questo DPA. Forniremo risposte scritte a richieste ragionevoli di informazioni fatte da te, comprese le risposte a questionari di sicurezza delle informazioni e di audit che siano ragionevoli nel loro ambito e necessari per confermare la conformità con questo DPA, a condizione che tu (i) abbia prima fatto un ragionevole sforzo per ottenere le informazioni richieste dalla Documentazione, dai Rapporti di Audit e da altre informazioni fornite o rese pubbliche da noi, e (ii) non eserciti questo diritto più di una volta all'anno, a meno che una violazione di Dati Personali o un cambiamento significativo nelle nostre attività di trattamento relative ai Servizi richieda che venga eseguito un ulteriore questionario. Tutte le risposte fornite sono nostre Informazioni Riservate.
10.3 Audit del Cliente
Se un Rapporto di Audit fornito da noi a te ti dà motivi fondati per credere che siamo in violazione dei nostri obblighi ai sensi di questo DPA, relativi ai Dati Personali del Cliente forniti da te, consentiremo a un revisore indipendente e qualificato nominato da te e approvato da noi, di esaminare le pertinenti attività di trattamento dei Dati Personali, a condizione che, per quanto possibile in base alla legge vigente, siano soddisfatte le seguenti condizioni:
a) Devi darci un ragionevole preavviso di almeno sessanta (60) giorni prima di esercitare il diritto all'audit;
b) Il revisore accetta obblighi di riservatezza standard di mercato con noi;
c) Tu e il revisore adottate misure per ridurre al minimo le interferenze nelle nostre operazioni aziendali;
d) L'audit sarà eseguito durante l'orario lavorativo normale;
e) Non saremo obbligati a fornire accesso ai dati dei clienti di altri clienti o a sistemi non coinvolti nella fornitura dei Servizi;
f) e Devi pagare tutti i costi dell'audit.
11. Cancellazione e Restituzione dei Dati Personali del Cliente
Al termine o alla scadenza dell'Accordo, noi (a tua scelta) elimineremo o ti restituiremo tutti i Dati Personali del Cliente (comprese le copie) in nostro possesso o controllo, fermo restando che questo requisito non si applicherà nella misura in cui siamo obbligati dalla legge a trattenere alcuni o tutti i Dati Personali del Cliente. Se ci istruisci di eliminare i Dati Personali del Cliente, i Dati Personali del Cliente archiviati sui nostri sistemi di backup saranno protetti da ulteriori elaborazioni e verranno eliminati quando sarà scaduto il periodo di retention richiesto.
12. Comunicazione e diritti degli affiliati dei clienti
L'entrata in questo DPA a nome e per conto di un Affiliato Cliente come stabilito nella Sezione 1.2 costituisce un DPA separato tra noi e quell'Affiliato Cliente, soggetto alle seguenti condizioni:
12.1. Comunicazione
Il Cliente che è la parte contraente dell'Accordo rimarrà responsabile per il coordinamento di tutta la comunicazione con noi ai sensi di questo DPA e avrà il diritto di fare e ricevere qualsiasi comunicazione relativa a questo DPA per conto dei suoi Affiliati Clienti.
12.2 Diritti degli Affiliati Clienti
Quando un Affiliato Cliente diventa una parte del DPA con noi, avrà, nella misura richiesta dalle Leggi sulla Protezione dei Dati, il diritto di esercitare i diritti e richiedere rimedi ai sensi di questo DPA, soggetto alle seguenti condizioni: (i) a meno che le Leggi sulla Protezione dei Dati richiedano all'Affiliato Cliente di esercitare un diritto o richiedere un rimedio ai sensi di questo DPA contro di noi direttamente da solo, le parti concordano che
(i) esclusivamente il Cliente che è la parte contraente dell'Accordo eserciterà tale diritto o richiederà tale rimedio per conto dell'Affiliato Cliente, e
(ii) il Cliente che è la parte contraente dell'Accordo eserciterà i diritti ai sensi di questo DPA non separatamente per ciascun Affiliato Cliente singolarmente, ma in modo combinato per sé e per tutti i suoi Affiliati Clienti insieme. (ii) Le parti concordano che il Cliente che è la parte contraente dell'Accordo dovrà, quando si svolgerà un audit in loco delle procedure rilevanti per la protezione dei Dati Personali dei Clienti a suo favore come stabilito nella Sezione 10.3 di questo DPA, adottare tutte le misure ragionevoli per limitare qualsiasi impatto su di noi combinando, nella misura ragionevolmente possibile, diverse richieste di audit effettuate per conto di sé stesso e di tutti i suoi Affiliati Clienti in un unico audit.
Per chiarezza, un Affiliato Cliente non diventa una parte contraente dell'Accordo.
13. Legge sulla Privacy del Consumatore della California
Nella misura in cui è applicabile, facciamo i seguenti ulteriori impegni nei tuoi confronti relativamente al trattamento dei Dati Personali del Cliente nell'ambito del CCPA.
13.1 I nostri obblighi ai sensi delle leggi statunitensi sulla protezione dei dati
I termini "scopo commerciale", "scopo commerciale", "consumatore", "vendere" e "condividere" come usati in questa Sezione 13.1 hanno i significati a loro attribuiti nel CCPA. Nella misura in cui applicabile, ci conformeremo al CCPA e tratteremo tutti i Dati Personali del Cliente soggetti al CCPA e ad altre leggi statunitensi sulla protezione dei dati ("Dati Personali USA") in conformità con le disposizioni del CCPA e di altre leggi sulla protezione dei dati degli Stati Uniti. Rispetto ai Dati Personali USA, siamo un fornitore di servizi ai sensi del CCPA e un responsabile del trattamento ai sensi di altre leggi sulla protezione dei dati statunitensi. Non venderemo Dati Personali USA. Non conserveremo, utilizzeremo o divulgheremo alcun Dato Personale USA (i) per finalità diverse da quelle commerciali specificate nel Contratto (inclusa la conservazione, l'utilizzo o la divulgazione dei Dati Personali USA per uno scopo commerciale diverso da quello commerciale specificato nel Contratto o come altrimenti consentito dal CCPA o dalle leggi applicabili); o (ii) al di fuori del diretto rapporto commerciale tra te e noi.
13.2 Obblighi del Cliente
Rappresenti e garantisci di aver fornito notifica all'Utente Finale che i Dati Personali vengono utilizzati o condivisi in conformità con le leggi sulla protezione dei dati applicabili. Sei responsabile del rispetto dei requisiti delle leggi sulla protezione dei dati nella misura in cui siano applicabili a te come titolare del trattamento.
14. Legge applicabile e risoluzione delle controversie
Qualsiasi controversia, reclamo o controversia (“Controversie”) derivante da o relativa a questo DPA sarà regolata e interpretata in conformità con le leggi dei Paesi Bassi. Ciascuna Parte concorda che i tribunali competenti di Amsterdam avranno giurisdizione esclusiva per risolvere eventuali Controversie derivanti da o relative a questo DPA.
13.1 I Nostri Obblighi Sotto le Leggi Statunitensi sulla Protezione dei Dati
I termini “scopo commerciale,” “scopo commerciale,” “consumatore,” “vendere” e “condividere” come usati in questa Sezione 13.1 hanno i significati a essi assegnati nel CCPA. Nella misura in cui applicabile, ci conformeremo al CCPA e tratteremo tutti i Dati Personali dei Clienti soggetti al CCPA e ad altre leggi statunitensi sulla protezione dei dati (“Dati Personali Statunitensi”) in conformità con le disposizioni del CCPA e delle altre leggi statunitensi sulla protezione dei dati. Rispetto ai Dati Personali Statunitensi, agiamo come fornitore di servizi ai sensi del CCPA e come titolare del trattamento ai sensi di altre leggi statunitensi sulla protezione dei dati. Non venderemo i Dati Personali Statunitensi. Non conserveremo, utilizzeremo o divulgueremo alcun Dato Personale Statunitense (i) per scopi diversi da quelli commerciali specificati nel Contratto (incluso conservare, utilizzare o divulgare Dati Personali Statunitensi per uno scopo commerciale diverso da quello commerciale specificato nel Contratto o come altrimenti consentito dal CCPA o dalle leggi applicabili); o (ii) al di fuori della diretta relazione commerciale con te e noi.
APPENDICE I - DETTAGLI DEL TRATTAMENTO
Quando applicabile, questo Allegato I funge da Allegato I alle Clausole Contrattuali Standard EEA.
Allegato I, Parte A. Elenco delle Parti
I termini "scopo commerciale", "scopo commerciale", "consumatore", "vendere" e "condividere" come utilizzati in questa Sezione 13.1 hanno i significati loro attribuiti nel CCPA. Nella misura in cui applicabile, ci conformeremo al CCPA e tratteremo tutti i Dati Personali dei Clienti soggetti al CCPA e ad altre leggi statunitensi sulla protezione dei dati (“Dati Personali Statunitensi”) conformemente alle disposizioni del CCPA e ad altre leggi sulla protezione dei dati degli Stati Uniti. Con riferimento ai Dati Personali Statunitensi, siamo un fornitore di servizi ai sensi del CCPA e un responsabile del trattamento ai sensi delle altre leggi sulla protezione dei dati degli Stati Uniti. Non venderemo Dati Personali Statunitensi. Non tratterremo, utilizzeremo o divulgheremo alcun Dato Personale Statunitense (i) per qualsiasi scopo diverso da quelli commerciali specificati nell'Accordo (incluso il trattamento, l'uso o la divulgazione di Dati Personali Statunitensi per uno scopo commerciale diverso dallo scopo commerciale specificato nell'Accordo o come altrimenti consentito dal CCPA o dalle leggi applicabili); o (ii) al di fuori della relazione commerciale diretta tra te e noi.
Esportatore di dati
Cliente
Dettagli di contatto dell'esportatore di dati
L'indirizzo elencato nell'account del Cliente, oppure l'indirizzo email del proprietario dell'account del Cliente, o agli indirizzi email per i quali il Cliente sceglie di ricevere comunicazioni ai sensi dell'Accordo.
Ruolo dell'esportatore di dati
Il ruolo dell'esportatore di dati è delineato nella Sezione 4 del DPA.
Firma e data
Se e quando applicabile, l'esportatore di dati si considera aver firmato le Clausole Contrattuali Standard incorporate nel presente documento a decorrere dalla Data di Efficacia del DPA.
Importatore di dati
Fornitore
Dettagli di contatto dell'importatore di dati
Responsabile della protezione dei dati - privacy@bird.com
Ruolo dell'importatore di dati
L'importatore di dati agisce come responsabile del trattamento.
Firma e data
Se e quando applicabile, l'importatore di dati si considera aver firmato le Clausole Contrattuali Standard incorporate nel presente documento a decorrere dalla Data di Efficacia del DPA.
Allegato I, Parte B. Descrizione del trasferimento
1. Categorie di soggetti dati i cui Dati Personali vengono trasferiti.
Utenti. Persone di contatto (persone fisiche) oppure dipendenti, appaltatori o lavoratori temporanei (attuali, prospettivi, ex) del Cliente che utilizzano i Servizi (“Utenti”);
Utenti finali. Qualsiasi singolo (i) le cui informazioni di contatto sono incluse nell'elenco contatti del Cliente; (ii) le cui informazioni sono archiviate o raccolte tramite i Servizi, o (ii) a cui il Cliente invia comunicazioni o altrimenti si impegna o comunica tramite i Servizi (collettivamente, “Utenti finali”). Tu, come Cliente, determini unicamente le categorie di soggetti dati incluse nella comunicazione inviata attraverso la nostra piattaforma di comunicazione.
2. Categorie di Dati Personali trasferiti
Dati Personali dei Clienti contenuti, contenuto della comunicazione, dati di traffico, dati degli Utenti finali e dati di utilizzo del cliente.
Contenuto della comunicazione, che può includere Dati Personali o altre caratteristiche personalizzate, a seconda del contenuto della comunicazione come determinato da te come Cliente.
Dati di traffico, che possono includere Dati Personali dei Clienti riguardanti il routing, la durata o il tempo di una comunicazione come una chiamata vocale, SMS o email, sia essa relativa a un individuo o a un'azienda.
Dati degli Utenti finali, come numero di telefono, indirizzo email, nome di battesimo, cognome, nome profilo, paese, identificatore del canale.
I dati di utilizzo del cliente possono contenere dati che possono essere collegati a te come singolo incluso in dati e informazioni statistiche relative al tuo account e alle attività di servizio, approfondimenti e report analitici riguardanti la comunicazione inviata e il supporto clienti.
3. Dati sensibili trasferiti
Dati sensibili trasferiti (se applicabile) e restrizioni o misure di sicurezza applicate che tengono pienamente conto della natura dei dati e dei rischi coinvolti, come ad esempio la rigorosa limitazione degli scopi, restrizioni di accesso (incluso accesso solo per personale che ha seguito una formazione specializzata), tenere un registro degli accessi ai dati, restrizioni per trasferimenti ulteriori o misure di sicurezza addizionali.
a) Contenuto della comunicazione. I dati sensibili possono, di tanto in tanto, essere elaborati tramite i Servizi in cui tu o i tuoi Utenti finali scegliete di includere dati sensibili all'interno delle comunicazioni che vengono trasmesse utilizzando i Servizi. Sei responsabile per garantire che siano in atto misure di sicurezza adeguate prima di trasmettere o elaborare, o di consentire ai tuoi Utenti finali di trasmettere o elaborare qualsiasi dato sensibile tramite i Servizi, conformemente alla Sezione 3.2 dell'Accordo.
b) Dati di traffico, dati degli Utenti finali e dati di utilizzo del cliente. Non sono contenuti dati sensibili nei dati di traffico, nei dati degli Utenti finali o nei dati di utilizzo del cliente.
4. La frequenza del trasferimento
La frequenza del trasferimento (ad esempio se i dati vengono trasferiti una sola volta o su base continua): i Dati Personali dei Clienti vengono trasferiti su base continua per tutta la durata dell'Accordo.
5. Natura del trattamento
Tratteremo i Dati Personali dei Clienti nella misura necessaria per fornire i Servizi ai sensi dell'Accordo. Non vendiamo alcun Dato Personale, inclusi i Dati Personali dei Clienti, e non condividiamo Dati Personali con terzi per compensi o per gli interessi commerciali di tali terzi.
6. Scopo(i) del trasferimento dei dati e ulteriore trattamento
Tratteremo i Dati Personali dei Clienti in qualità di responsabile del trattamento conformemente alle istruzioni del Cliente come stabilito in questo DPA, a meno che il trattamento sia necessario per conformarsi a un obbligo legale a cui siamo soggetti, nel qual caso ci classificheremo come titolari del trattamento.
Contenuto della comunicazione, dati di traffico, dati degli Utenti finali e dati di utilizzo del cliente. I Dati Personali contenuti nel contenuto della comunicazione, nei dati di traffico, nei dati degli Utenti finali e nei dati di utilizzo del cliente saranno soggetti alle seguenti attività di trattamento di base:
a) Contenuto della comunicazione. La fornitura di prodotti e servizi di comunicazione programmabili, offerti sotto forma di interfacce di programmazione delle applicazioni (API) o tramite il Dashboard, al Cliente, inclusa la trasmissione da o verso l'applicazione software del Cliente dalla nostra piattaforma di comunicazione, e altre reti di comunicazione.
b) Dati di traffico. I dati di traffico vengono elaborati per lo scopo di trasmettere comunicazioni su una rete di comunicazione elettronica o per la fatturazione in relazione a tale comunicazione. Questo può includere Dati Personali dei Clienti riguardanti il routing, la durata o il tempo di una comunicazione come chiamata vocale, SMS o email, sia essa relativa a un individuo o a un'azienda.
c) Dati degli Utenti finali. I Dati Personali degli Utenti finali sono necessari per fornire i Servizi e saranno elaborati solo per scopi di trasmissione delle comunicazioni, supporto clienti e garantire il rispetto dei nostri obblighi legali.
d) Dati di utilizzo del cliente. I Dati Personali contenuti nei dati di utilizzo del cliente saranno soggetti alle attività di trattamento di fornitura dei Servizi ai sensi dell'Accordo, con l'obiettivo di fornire al Cliente approfondimenti e report analitici relativi alla comunicazione inviata, supporto clienti e miglioramento continuo dei Servizi.
7. Periodo di conservazione dei Dati Personali
Il periodo per il quale i Dati Personali saranno conservati, o, se ciò non è possibile, i criteri utilizzati per determinare tale periodo: Contenuto della comunicazione e dati di traffico. Per il contenuto della comunicazione e i dati di traffico contenuti nei Servizi SMS e Voce si applica un periodo di conservazione di sei mesi; Per i servizi Video il contenuto della comunicazione e i dati di traffico vengono conservati per un periodo minimo di 30 giorni fino alla durata concordata con te; Per i servizi Email il contenuto della comunicazione e i dati di traffico vengono conservati per 72 ore; Per tutti gli altri servizi, il contenuto della comunicazione e i dati di traffico vengono conservati per la durata dei Servizi, salvo se tu elimini il contenuto della comunicazione o i dati di traffico tramite le misure tecniche e organizzative messe a disposizione tramite i Servizi. I dati degli Utenti finali. I dati degli Utenti finali saranno trattati per la durata stabilita dal Cliente, quando i dati degli Utenti finali sono inclusi nei tuoi profili di contatto il periodo di conservazione predefinito è per la durata dei Servizi, soggetto alla Sezione 6(c) di questo Allegato I, Parte B. I dati di utilizzo del cliente. Al termine dell'Accordo, potremmo conservare, utilizzare e divulgare i Dati di Utilizzo del Cliente per le finalità previste nella Sezione 6(d) di questo Allegato I, Parte B, soggetto agli obblighi di riservatezza previsti nell'Accordo. Anonimizzare o eliminare i dati di utilizzo del cliente quando non ne abbiamo più bisogno per le finalità stabilite nella Sezione 6(d) di questo Allegato I, Parte B.
7. Conservazione dei Dati Personali
Il periodo per il quale i Dati Personali saranno conservati, o, se ciò non è possibile, i criteri utilizzati per determinare tale periodo:
Contenuto della comunicazione e dati di traffico;
Per il contenuto della comunicazione e i dati di traffico contenuti nei Servizi SMS e Voce si applica un periodo di conservazione di sei mesi;
Per i servizi Video il contenuto della comunicazione e i dati di traffico vengono conservati per un periodo minimo di 30 giorni fino alla durata concordata con te;
Per i servizi Email il contenuto della comunicazione e i dati di traffico vengono conservati per 72 ore;
Per tutti gli altri servizi, il contenuto della comunicazione e i dati di traffico vengono conservati per la durata dei Servizi, salvo se tu elimini il contenuto della comunicazione o i dati di traffico tramite le misure tecniche e organizzative messe a disposizione tramite i Servizi.
I dati degli Utenti finali saranno trattati per la durata stabilita dal Cliente, quando i dati degli Utenti finali sono inclusi nei tuoi profili di contatto il periodo di conservazione predefinito è per la durata dei Servizi, soggetto alla Sezione 6(c) di questo Allegato I, Parte B.
I dati di utilizzo del cliente: Al termine dell'Accordo, potremmo conservare, utilizzare e divulgare i Dati di Utilizzo del Cliente per le finalità previste nella Sezione 6(d) di questo Allegato I, Parte B, soggetto agli obblighi di riservatezza previsti nell'Accordo. Anonimizzare o eliminare i dati di utilizzo del cliente quando non ne abbiamo più bisogno per le finalità stabilite nella Sezione 6(d) di questo Allegato I, Parte B.
8. Per trasferimenti a (Sub-)responsabili
Per trasferimenti a (Sub-)responsabili, specificare anche oggetto, natura e durata del trattamento: Per trasferimenti a Sub-responsabili, l'oggetto e la natura del trattamento sono delineati nella nostra panoramica sui Sub-responsabili e la durata è per tutta la durata dell'Accordo.
Allegato I, Parte C. Autorità di vigilanza competente
L'Autorità Olandese per la Protezione dei Dati (Autoriteit Persoonsgegevens) sarà l'autorità di vigilanza competente.
APPENDICE II - Misure di Sicurezza Tecniche e Organizzative
Dove applicabile, questo Allegato II servirà come Allegato II delle Clausole Contrattuali Standard. Quanto segue fornisce ulteriori informazioni riguardo alle nostre misure di sicurezza tecniche e organizzative stabilite di seguito.
Misure di Sicurezza Tecniche e Organizzative
Misure di pseudonimizzazione e protezione dei Dati Personali in archiviazione e transito:
Tutti i Dati Personali sono crittografati in transito e a riposo e, per quanto rilevante dal punto di vista della sicurezza, trattati come se fossero classificati come dati sensibili. Le informazioni vengono sempre trasmesse tramite TLS con metodologie di crittografia aggiornate per impostazione predefinita.
Misure per garantire la continua riservatezza, integrità, disponibilità e resilienza dei sistemi di elaborazione e servizi:
Stipuliamo accordi che contengono clausole di riservatezza con i nostri dipendenti, appaltatori, fornitori e Sub-processori. La nostra politica di continuità aziendale è quella di preparare la nostra attività e i nostri servizi in caso di interruzioni prolungate causate da fattori al di fuori del nostro controllo e ripristinare i servizi nel modo più ampio possibile in un tempo minimo. Comprendiamo che i servizi che forniamo sono critici per la nostra clientela e pertanto abbiamo una tolleranza molto bassa per le interruzioni del servizio. I nostri tempi di recupero sono progettati per garantire che possiamo soddisfare i nostri obblighi verso tutti i nostri clienti.
Processi per testare, valutare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento:
Lo scopo della sicurezza delle informazioni e del nostro Sistema di Gestione della Sicurezza delle Informazioni (ISMS) è quello di proteggere la riservatezza, l'integrità e la disponibilità delle informazioni per l'organizzazione, i dipendenti, i partner, i clienti e i sistemi informatici (autorizzati), e di ridurre al minimo il rischio di danni prevenendo incidenti di sicurezza e gestendo minacce e vulnerabilità. Il nostro team legale, il Responsabile della Protezione dei Dati e il team di Sicurezza si assicurano che le normative e gli standard applicabili siano considerati nei nostri quadri di sicurezza.
Misure per l'identificazione e l'autorizzazione degli utenti:
Seguiamo i principi del "bisogno di conoscere" e "minimo privilegio". Promuoviamo l'uso di controlli di accesso basati sui ruoli. Il provisioning e il deprovisioning sono supervisionati dal team di sicurezza, con Single-Sign-On e 2FA per impostazione predefinita. Sono stati definiti dei proprietari per ciascun asset informativo che sono responsabili per garantire che l'accesso ai loro sistemi sia appropriato e revisionato regolarmente. Ogni volta che trattiamo informazioni sensibili o intraprendiamo azioni critiche, utilizziamo il principio delle quattro occhi.
Misure per garantire la registrazione degli eventi:
I log di audit sono centralmente archiviati e monitorati regolarmente per eventi di sicurezza e sono mantenuti sicuri per evitare il rischio di manomissione. La Politica di Gestione degli Incidenti impone il piano di risposta agli incidenti e le sue procedure. Queste linee guida vengono seguite se si verifica qualsiasi tipo di incidente di sicurezza o tecnico.
Misure per garantire la configurazione dei sistemi, inclusa la configurazione predefinita:
Seguiamo un processo di gestione delle modifiche coerente per tutte le modifiche all'ambiente di produzione della Piattaforma di Comunicazione come Servizio. Per elaborare ulteriormente, tutte le richieste di modifica (RFC) devono essere approvate da una parte designata ed eseguite secondo il processo di controllo delle modifiche formale. Il processo di controllo garantisce che le modifiche proposte siano revisionate, autorizzate, testate, implementate e rilasciate in modo controllato; e che lo stato di ciascuna modifica proposta sia monitorato. Vengono seguiti i parametri di configurazione per configurare i sistemi in modo sicuro seguendo le migliori pratiche. Inoltre, all'interno del dipartimento ingegneristico, viene utilizzato un radar tecnologico per definire quali tecnologie (linguaggi, strumenti di piattaforma, database e strumenti di gestione dei dati) possono essere adottate o devono essere evitate durante lo sviluppo.
Misure per la sicurezza fisica
Promuoviamo attivamente una politica di “Lavoro da qualsiasi luogo” in modo che i nostri dipendenti siano liberi di lavorare da qualsiasi posto desiderino. Tuttavia, abbiamo ancora i nostri uffici. Non disponiamo di aree sicure/datacenter presso i nostri locali in quanto siamo un’azienda completamente basata su cloud. I nostri piani ufficio sono protetti da controlli di accesso fisici, CCTV e sicurezza presidiata.
Misure per la governance e gestione della sicurezza informatica interna:
Manteniamo un programma di sicurezza basato su valutazioni del rischio, che include salvaguardie amministrative, organizzative, tecniche e fisiche progettate per proteggere i Servizi e la riservatezza, l'integrità e la disponibilità dei Dati dei Clienti. Il nostro programma di sicurezza delle informazioni è impostato in modo sistematico e ben organizzato. Inoltre, si applicano requisiti legali e normativi per garantire la riservatezza, l'integrità e la disponibilità delle informazioni per l'organizzazione, i dipendenti, i partner e i clienti. Tutto questo viene tradotto nelle nostre politiche, procedure e linee guida sulla sicurezza delle informazioni. Abbiamo un Comitato Direttivo per la Sicurezza che è responsabile del livello tattico della sicurezza delle informazioni. Ciò implica il coordinamento delle attività di sicurezza delle informazioni e la traduzione delle attività strategiche in attività operative per la nostra sicurezza e il nostro continuo mantenimento della conformità normativa. Tutti i dipendenti sono responsabili della salvaguardia degli asset aziendali. Tutti i nostri dipendenti sono selezionati per competenza, esperienza e integrità. I dipendenti vengono informati sulla sicurezza e la protezione dei dati in fase di onboarding, così come attraverso regolari formazioni specifiche per team e altre presentazioni aziendali su larga scala riguardo l'importanza della protezione dei dati e della conformità alla sicurezza. Siamo certificati ISO 27001, gli standard di sicurezza delle informazioni riconosciuti a livello globale per i Sistemi di Gestione della Sicurezza delle Informazioni (ISMS).
Tutti i nostri fornitori di hosting sono certificati ISO 27001.
Inoltre, siamo registrati presso l'Autorità Olandese per i Consumatori e i Mercati. Ciò significa che siamo sempre responsabili e completamente trasparenti con i nostri clienti.
Siamo membri associati del Groupe Speciale Mobile Association (GSMA). Il GSMA rappresenta gli interessi degli operatori mobili in tutto il mondo.
Siamo sempre aggiornati su tutte le leggi e i regolamenti applicabili, incluso il Regolamento Generale sulla Protezione dei Dati e il Quadro di Protezione dei Dati UE-USA.
Misure per le certificazioni/assicurazione dei processi e dei prodotti:
Svolgiamo rigorose sorveglianze e audit di certificazione come parte della nostra conformità ISO/IEC 27001, e eseguiamo regolarmente test di vulnerabilità delle applicazioni e di penetrazione.
Misure per garantire la responsabilità:
implementiamo politiche di sicurezza delle informazioni e di protezione dei dati in conformità con le leggi applicabili e pubblichiamo una panoramica delle nostre informazioni ISMS rilevanti (link). Abbiamo nominato un Direttore della Sicurezza dedicato, un Responsabile della Sicurezza delle Informazioni, un Responsabile della Conformità e un Responsabile della Protezione dei Dati e manteniamo documentazione delle nostre attività di trattamento, inclusa la registrazione e la segnalazione degli incidenti di sicurezza che coinvolgono Dati Personali, laddove applicabile.
Misure per garantire la cancellazione dei dati:
Garantiamo la cancellazione dei dati attraverso un processo di eliminazione automatizzato all'interno del nostro ambiente di comunicazione e infrastruttura. Questo processo di eliminazione dei dati assicura che tutti i dati che non sono più necessari per soddisfare uno scopo specifico vengano rimossi dai nostri sistemi dopo il trattamento.
