Data Processing Agreement Febbraio 2024
Questo Accordo sul Trattamento dei Dati si applica a te se ti sei registrato ai nostri Servizi (incluso tramite uno dei nostri Affiliati) prima, il o dopo il 1 febbraio 2024 alle 13:00 CET. Il nostro Accordo sul Trattamento dei Dati archiviato è disponibile qui.
Questo Accordo sul Trattamento dei Dati, inclusi gli allegati, (“DPA”) fa parte dell'Accordo tra noi e il Cliente per l'acquisto di servizi di comunicazione (online) da noi per riflettere l'accordo tra le Parti riguardo al trattamento dei Dati Personali del Cliente. In questo DPA, i termini “tu”, “tuo” o “Cliente” si riferiscono a te come nostro Cliente (soggetto alla Sezione 1.2 sotto), e i termini “noi”, “ci” o “nostro” si riferiscono a noi come il Fornitore (come definito sotto). I termini in maiuscolo utilizzati in questo DPA ma non definiti sotto sono definiti nei nostri Termini e Condizioni Generali o in altro Accordo con noi che disciplina il tuo uso dei Servizi.
1.1 Ambito
Questo DPA regola il trattamento dei dati personali del cliente da parte nostra come responsabile del trattamento.
1.2 Affiliati del Cliente
Il Cliente entra in questo DPA per conto proprio e, nella misura richiesta dalle Leggi sulla Protezione dei Dati, in nome e per conto delle sue Affiliate (come definito nei Termini), se e nella misura in cui si fornisce a tali Affiliate l'accesso ai Servizi e noi trattiamo i Dati Personali del Cliente per i quali tali Affiliate si qualificano come responsabili del trattamento dei dati (Affiliate del Cliente). Ai fini di questo DPA solo, e salvo diversa indicazione, i termini “Cliente” e “tu” includeranno il Cliente e le Affiliate del Cliente.
1.3 Termini
Questo DPA rimarrà in vigore fintanto che elaboriamo i Dati Personali del Cliente soggetti a questo DPA, nonostante la scadenza o la risoluzione dell'Accordo.
2. Definitions
Account Data
“Account Data” sono tutti i Dati Personali forniti da o per voi a noi in relazione all'entrata e all'amministrazione dell'Accordo e del vostro account, inclusi, ma non limitati a, informazioni di contatto, dettagli di fatturazione e corrispondenza riguardante l'entrata e l'amministrazione dell'Accordo e dei Servizi correlati.
CCPA
"CCPA" si riferisce al California Consumer Privacy Act del 2018 e a qualsiasi regolamento promulgato in base a esso, in ogni caso, come modificato di volta in volta.
Dati Cliente
“Dati Cliente” significa qualsiasi dato e altra informazione o contenuto presentato da voi o per voi (o da un utente della vostra Applicazione Cliente) ai sensi dell'Accordo e processato o memorizzato dai Servizi.
Dati Personali Cliente
“Dati Personali Cliente” significa Dati Personali contenuti nei Dati Cliente processati da noi come un processore, salvo quanto diversamente specificato in questo DPA.
Leggi sulla Protezione dei Dati
“Leggi sulla Protezione dei Dati” significa tutte le leggi e i regolamenti di qualsiasi giurisdizione applicabili alla riservatezza, privacy, sicurezza, o processamento dei Dati Personali ai sensi dell'Accordo, inclusi, ad esempio e ove applicabile, il GDPR o il CCPA.
EEA
“EEA” significa, ai fini di questo DPA, lo Spazio Economico Europeo e la Svizzera.
GDPR
“GDPR” significa: (i) Regolamento 2016/679 del Parlamento e del Consiglio Europeo sulla protezione delle persone fisiche rispetto al trattamento dei Dati Personali e sulla libera circolazione di tali dati (Regolamento Generale sulla Protezione dei Dati); o (ii) solo rispetto al Regno Unito, il Data Protection Act 2018.
Dati Personali
“Dati Personali” significa qualsiasi informazione relativa a una persona fisica identificata o identificabile direttamente o indirettamente, sia da sola sia in combinazione con altre informazioni.
Violazione dei Dati Personali
“Violazione dei Dati Personali” significa qualsiasi distruzione, perdita, alterazione, divulgazione o accesso accidentale, non autorizzato o illegale a Dati Personali Cliente e qualsiasi altro termine simile ai sensi delle Leggi sulla Protezione dei Dati applicabili come “Violazione della Sicurezza.”
Servizi
“Servizi” significa tutti i prodotti e servizi forniti da noi o dai nostri Affiliati che sono (a) ordinati da voi sotto qualsiasi Modulo d’Ordine; o (b) utilizzati da voi.
Fornitore
“Fornitore” significa la nostra entità contrattuale che è parte del presente DPA, essendo l'entità contrattuale elencata nella Sezione 15 dei Termini e Condizioni Generali (Entità contrattante), salvo diversamente indicato nel vostro Modulo d’Ordine. Voi o il Fornitore potreste essere indicati individualmente come una “Parte” e insieme come “Parti” in questo DPA.
Clausole Contrattuali Standard
“Clausole Contrattuali Standard” significa Controller to Processor (Modulo Due) o Processor to Processor (Modulo Tre), come applicabile, delle Clausole Contrattuali Standard per il trasferimento di Dati Personali verso paesi terzi ai sensi del Regolamento (UE) 2016/679 del Parlamento e del Consiglio Europeo approvato mediante Decisione di Esecuzione della Commissione Europea (UE) 2021/914 del 4 giugno 2021, come attualmente indicato in https://eurlex.europa.eu/eli/dec_impl/2021/914/oj.
Sub-processore
“Sub-processore” significa un'entità terza che elabora Dati Personali Cliente per conto del Fornitore dove il Fornitore agisce come un processore di dati o un sub-processore.
UK Standard Contractual Clauses
“UK Standard Contractual Clauses” significa uno o tutti i seguenti: (i) Accordo di trasferimento di dati internazionali emesso dal Commissario per l’Informazione del Regno Unito ai sensi della sezione 119A del DPA 2018; (ii) l'addendum di trasferimento di dati internazionali alle clausole contrattuali standard della Commissione Europea per trasferimenti internazionali di dati emesso dal Commissario per l’Informazione del Regno Unito ai sensi della sezione 119A del DPA 2018; o (iii) le disposizioni contrattuali standard emesse dal Commissario per l’Informazione del Regno Unito o dalla Commissione Europea che possono sostituire queste di volta in volta. Termini come “processing”, “data controller”, “data processor”, “data subject”, ecc. avranno il significato assegnato sotto il GDPR. La definizione di “data controller” include “business”, “consumer”, “controller”, e “organisation”; "data processor" include “service provider”, “processor”, e “data intermediary”; “data subject” include “consumer”, e “individual”; e “Personal Data” include “personal information”, in ogni caso come definito ai sensi del CCPA, e altre Leggi sulla Protezione dei Dati applicabili. I termini “business purpose”, “commercial purpose”, “sell,” e “share” avranno lo stesso significato nelle Leggi sulla Protezione dei Dati applicabili e, in ogni caso, i loro termini correlati saranno interpretati di conseguenza.
3. Processing of Customer Personal Data
3.1 Scopi
Elaboreremo i Dati Personali del Cliente solo nella misura necessaria (i) per fornire i Servizi, inclusa la trasmissione delle comunicazioni, garantendo la sicurezza dei servizi, fornitura di report tecnici e di consegna, fornire supporto e sviluppare e implementare miglioramenti e aggiornamenti in conformità con le vostre istruzioni documentate a noi come responsabile del trattamento dati come specificato nella Sezione 3.2 di questo DPA, (ii) per i nostri legittimi scopi aziendali come specificato nella Sezione 3.4 di questo DPA come titolare del trattamento, e (iii) come altrimenti richiesto dalla legge applicabile.
3.2 Istruzioni del Cliente
L'Accordo e questo DPA costituiscono le vostre istruzioni complete nei nostri confronti come responsabile del trattamento dei dati al momento della firma di questo DPA. Rispetteremo altre istruzioni ragionevolmente documentate a condizione che tali istruzioni siano coerenti con i termini dell'Accordo.
3.3 Dettagli del Trattamento
L'Allegato I, Parte B (Descrizione del trasferimento) dell'Appendice I di questo DPA specifica la natura e lo scopo del trattamento da parte nostra come responsabile del trattamento o Sub-responsabile del trattamento, le attività di trattamento, la durata del trattamento, i tipi di Dati Personali e le categorie di soggetti dei dati.
3.4 Legittimi Scopi Aziendali
Riconoscete che elaboriamo i Dati Personali del Cliente come titolare indipendente del trattamento nella misura necessaria per i seguenti legittimi scopi aziendali: fatturazione, gestione dei conti, rendicontazione finanziaria e interna, contrasto e prevenzione delle minacce alla sicurezza, attacchi informatici, e crimine informatico che possono riguardare voi, noi o i nostri servizi, modellazione aziendale (ad esempio, previsione, pianificazione della capacità e delle entrate, e strategia del prodotto), prevenzione e rilevamento di frodi, spam e abusi, miglioramento della nostra suite di prodotti e servizi, e per conformarsi ai nostri obblighi legali.
4. Customer Obligations
4.1 Legalità
Quando agisci come titolare del trattamento dei Dati Personali del Cliente, garantisci che tutte le attività di trattamento siano legali, abbiano uno scopo specifico e che qualsiasi avviso e consenso richiesto o altra base legale appropriata sia in atto per consentire il trasferimento legale dei Dati Personali del Cliente. Se sei un responsabile del trattamento dei dati (nel qual caso noi agiremo come Sub-responsabili), assicurerai che il titolare del trattamento dei dati pertinente garantisca che le condizioni elencate in questa Sezione 4.1 siano soddisfatte.
4.2 Conformità
Sei l'unico responsabile di (a) garantire che rispetti le Leggi sulla Protezione dei Dati applicabili al tuo uso dei Servizi e al tuo trattamento dei Dati Personali del Cliente, (b) fare una valutazione indipendente se le misure tecniche e organizzative dei Servizi soddisfano i tuoi requisiti, e (c) implementare e mantenere misure di privacy e sicurezza per i componenti che fornisci o controlli (inclusi, ma non limitati a, password, dispositivi utilizzati con i Servizi e le Applicazioni del Cliente).
5. Security
5.1 Misure di Sicurezza
Tenendo conto dello stato dell'arte, dei costi di attuazione e della natura, portata, contesto e finalità del trattamento, nonché del rischio di probabilità e gravità variabile per i diritti e le libertà delle persone fisiche, implementeremo e manterremo adeguate misure di sicurezza tecniche e organizzative per proteggere i Dati Personali del Cliente da Violazioni dei Dati Personali e per preservare la sicurezza, integrità, disponibilità, resilienza e riservatezza dei Dati del Cliente che i nostri sistemi utilizzano per elaborare i Dati Personali del Cliente. Le misure di sicurezza applicate da noi sono descritte nell'Appendice II.
5.2 Aggiornamenti alle Misure di Sicurezza
Sei responsabile di esaminare le informazioni fornite da noi relative alla sicurezza dei Dati Personali del Cliente e di effettuare una valutazione indipendente per determinare se tali informazioni soddisfano i tuoi requisiti e obblighi legali ai sensi delle Leggi sulla Protezione dei Dati. Riconosci che le misure di sicurezza sono soggette a progressi tecnici e sviluppi e che potremmo aggiornare o modificare le nostre misure di sicurezza di volta in volta, a condizione che tali aggiornamenti e modifiche non comportino il degrado della sicurezza complessiva dei Dati Personali del Cliente.
5.3 Controlli di Accesso
Applichiamo i principi di “necessità di sapere” e “minimo privilegio” assicurando che l'accesso ai Dati Personali del Cliente sia limitato a quel Personale necessario per la fornitura dei Servizi e in linea con l'Accordo, incluso questo DPA.
5.4 Riservatezza del Trattamento
Garantiremo che qualsiasi persona o parte autorizzata da noi a trattare i Dati Personali del Cliente (compresi il nostro personale, agenti e Sub-fornitori) sia informata della natura confidenziale di tali Dati Personali del Cliente e sarà soggetta a un'appropriata obbligazione di riservatezza (sia contrattuale che prevista dalla legge) che sopravviva alla cessazione del loro incarico.
5.5 Risposta e Notifica di Violazione dei Dati Personali
Nel momento in cui veniamo a conoscenza di una Violazione dei Dati Personali, provvederemo ohne eccessivi ritardi
(i) a notificarlo a te,
(ii) a indagare sulla Violazione dei Dati Personali,
(iii) a fornire tempestivamente informazioni relative alla Violazione dei Dati Personali man mano che si conoscono o come ragionevolmente richiesto da te, e
(iv) a prendere provvedimenti commercialmente ragionevoli per mitigare gli effetti e prevenire il ripetersi della Violazione dei Dati Personali.
6. Assistance
6.1 Assistenza per la Protezione dei Dati
Vi forniremo l'assistenza ragionevolmente richiesta per permettervi di adempiere ai vostri obblighi ai sensi delle Leggi sulla Protezione dei Dati, inclusa la notifica di una violazione dei dati personali, valutando il livello di sicurezza appropriato del trattamento e assistendovi con l'esecuzione di una valutazione d'impatto sulla protezione dei dati pertinente.
6.2 Assistenza con i Diritti dei Soggetti dei Dati
Vi forniremo assistenza ragionevole per permettervi di adempiere ai vostri obblighi nei confronti dei soggetti dei dati che esercitano i loro diritti ai sensi delle Leggi sulla Protezione dei Dati rendendo disponibili misure tecniche e organizzative tramite il vostro account. Per evitare equivoci, voi come titolare del trattamento siete responsabili dell'elaborazione di qualsiasi richiesta o reclamo da parte dei soggetti dei dati riguardo ai Dati Personali del Cliente di un soggetto dei dati.
7. Disclosure and Disclosure Requests
7.1 Limitazioni sulla Divulgazione e Accesso
Non forniremo accesso o divulgheremo i Dati Personali del Cliente tranne (i) come diretto da te, (ii) come stabilito nell'Accordo e in questo DPA, o (iii) come richiesto dalla legge.
7.2 Richieste di Divulgazione
Ti informeremo il prima possibile se riceviamo una richiesta da un organismo governativo o regolatorio di divulgare i Dati Personali del Cliente, a meno che tale comunicazione sia vietata dalla legge. Gestiremo le richieste di divulgazione in conformità con la politica sulle richieste di divulgazione, disponibile sul nostro sito web qui.
8. Sub-processori
8.1 Elenco degli attuali Sub-processori
Accetti l'ingaggio dei Sub-processori in relazione ai Servizi, elencati nella nostra panoramica dei Sub-processori, che contiene anche una procedura per iscriversi alle notifiche di modifiche all'uso dei Sub-processori. Se ti iscrivi a tali notifiche e tenendo conto della Sezione 8.3 di questo DPA, condivideremo i dettagli di qualsiasi modifica nei Sub-processori il prima possibile.
8.2 Nomina dei Sub-processori
Attraverso questo DPA, fornisci un'autorizzazione scritta generale per ingaggiare Sub-processori per l'elaborazione dei Dati Personali dei Clienti, soggetta alla Sezione 8.3 di questo DPA e ai seguenti requisiti:
Limiteremo l'accesso ai Dati Personali dei Clienti da parte dei Sub-processori a ciò che è strettamente necessario per fornire i servizi specificati nell'accordo del sub-processore;
Concorderemo obblighi di protezione dei dati con il Sub-processore che siano sostanzialmente gli stessi degli obblighi ai sensi di questo DPA; e
Rimaniamo responsabili nei tuoi confronti ai sensi di questo DPA per l'esecuzione degli obblighi di protezione dei dati del Sub-processore.
8.3 Notificazione delle modifiche ai Sub-processori e diritto di opposizione
Prima di sostituire o ingaggiare nuovi Sub-processori (“Modifica del Sub-processore”), ti daremo l'opzione di opporti alla Modifica del Sub-processore. Puoi opporti a una Modifica del Sub-processore a condizione che (i) l'obiezione sia fatta per iscritto entro dieci (10) giorni lavorativi dalla nostra notifica della Modifica del Sub-processore e (ii) l'obiezione sia basata e spieghi chiaramente i motivi ragionevoli relativi alla protezione dei Dati Personali dei Clienti. Quando ti opponi a una proposta di Modifica del Sub-processore, collaboreremo con te in buona fede per effettuare una modifica commercialmente ragionevole nella fornitura dei Servizi che eviti l'uso del Sub-processore rilevante. Se tale modifica non può essere ragionevolmente effettuata entro trenta (30) giorni lavorativi dalla nostra ricezione della tua notifica di obiezione o se la modifica è commercialmente irragionevole per noi, ciascuna parte può terminare le caratteristiche applicabili dei Servizi che non possono essere forniti senza l'uso del Sub-processore rilevante. Questo diritto di risoluzione è il tuo unico ed esclusivo rimedio se ti opponi a una Modifica del Sub-processore.
9. Cross Border Transfers of Customer Personal Data
9.1 Trasferimenti di Dati Personali dei Clienti
Possiamo trasferire i Dati Personali dei Clienti a condizione che tutte le garanzie appropriate richieste dalle Leggi sulla Protezione dei Dati siano in atto. Questo può includere una valutazione preliminare dell'impatto del trasferimento dei dati, l'adozione, il monitoraggio e la valutazione di misure tecniche, organizzative e legali supplementari, diritti esecutivi del soggetto dei dati e che siano disponibili rimedi legali efficaci per i soggetti dei dati.
9.2 Clausole Contrattuali Standard per Sub-responsabili
Salvo che non si applicano una decisione di adeguatezza o un meccanismo di trasferimento alternativo, come il Data Privacy Framework UE-USA, abbiamo stipulato e manterremo Clausole Contrattuali Standard con Sub-responsabili (compresi i nostri Affiliati) situati al di fuori dell'EEA, soggetti ai termini stabiliti nella Sezione 9.1 di questo DPA.
9.3 Meccanismi di Trasferimento per Trasferimenti di Dati Personali dei Clienti
In quanto il tuo utilizzo dei Servizi richiede un meccanismo di trasferimento di dati transfrontaliero per esportare legalmente Dati Personali dei Clienti da una giurisdizione (ad esempio l'EEA, la California, Singapore, la Svizzera o il Regno Unito) a noi situati al di fuori di quella giurisdizione questa sezione si applicherà. Se, nell'esecuzione dei Servizi, i Dati Personali dei Clienti soggetti al GDPR o qualsiasi altra legge relativa alla protezione o alla privacy degli individui che si applica a questo DPA vengono trasferiti a un'entità del Fornitore situata in paesi che non garantiscono un livello adeguato di protezione dei dati nel significato delle Leggi sulla Protezione dei Dati, i meccanismi di trasferimento elencati di seguito si applicheranno a tali trasferimenti e possono essere direttamente applicati dalle parti nella misura in cui tali trasferimenti sono soggetti alle Leggi sulla Protezione dei Dati.
9.3.1
Le parti concordano che le Clausole Contrattuali Standard si applicheranno ai Dati Personali dei Clienti che vengono trasferiti tramite i Servizi dall'EEA o dalla Svizzera, direttamente o tramite trasferimento successivo, a un'entità del Fornitore situata in un paese al di fuori dell'EEA o della Svizzera che non è riconosciuto dalla Commissione Europea (o, nel caso di trasferimenti dalla Svizzera, dall'autorità competente per la Svizzera) come fornitori di un livello adeguato di protezione per i dati personali.
9.3.1.1
Quando agisci come titolare del trattamento e noi siamo un responsabile del trattamento, si applicheranno le Clausole Contrattuali Standard dell'UE Controller-to-Processor (Modulo Due) a tali trasferimenti di Dati Personali dei Clienti dall'EEA. Quando agisci come responsabile del trattamento e noi siamo un sub-responsabile, si applicheranno le Clausole Contrattuali Standard del Processor-to-Processor (Modulo Tre) a tali trasferimenti di Dati Personali dei Clienti dall'EEA.
9.3.1.2
Saremo considerati l'importatore dei dati e tu sarai considerato l'esportatore dei dati ai sensi delle Clausole Contrattuali Standard. La firma di ciascuna parte di questo DPA sarà trattata come firma delle Clausole Contrattuali Standard applicabili, che saranno considerate incorporate in questo DPA. I dettagli richiesti nell'Allegato 1 e nell'Allegato 2 alle Clausole Contrattuali Standard sono disponibili nell'Appendice I e nell'Appendice II di questo DPA. In caso di conflitto o incoerenza tra questo DPA e le Clausole Contrattuali Standard, le Clausole Contrattuali Standard prevarranno solo per quanto riguarda un trasferimento di Dati Personali dei Clienti dall'EEA.
9.3.1.3
Laddove le Clausole Contrattuali Standard richiedono alle parti di scegliere tra clausole opzionali e di inserire informazioni, le parti l'hanno fatto come indicato di seguito:
i. La Clausola Opzionale 7 "Clausola di ancoraggio" non sarà adottata.
ii. Per la Clausola 9 "Uso di sub-responsabili", le parti scelgono la seguente opzione: "Opzione 2 Autorizzazione generale scritta: l'importatore dei dati ha l'autorizzazione generale del titolare per l'ingaggio di sub-responsabile(i) da un elenco concordato. L'importatore dei dati informerà specificamente il titolare per iscritto di eventuali cambiamenti previsti a tale elenco attraverso l'aggiunta o la sostituzione di sub-responsabili con almeno 10 giorni lavorativi di anticipo, dando così al titolare tempo sufficiente per poter opporsi a tali modifiche prima dell'ingaggio del/dei sub-responsabile(i). L'importatore dei dati fornirà all'esportatore dei dati le informazioni necessarie per consentire all'esportatore dei dati di esercitare il suo diritto di opposizione. L'importatore dei dati informerà l'esportatore dei dati dell'ingaggio del/dei sub-responsabile(i)."
iii. Per la Clausola 11 (a) "Risarcimento", le parti non adottano l'Opzione.
iv. Per la Clausola 17 "Legge applicabile", le parti scelgono la seguente opzione: "Opzione 1. Queste Clausole saranno regolate dalla legge di uno degli Stati Membri dell'UE, a condizione che tale legge consenta diritti beneficiari di terzi. Le Parti concordano che questa sarà la legge dei Paesi Bassi."
v. Per la Clausola 18 (b) "Scelta del Foro e Giurisdizione": "Le Parti concordano che questi saranno i tribunali dei Paesi Bassi."
9.3.2
Le parti concordano che le Clausole Contrattuali Standard del Regno Unito si applicheranno ai Dati Personali dei Clienti che vengono trasferiti tramite i Servizi dal Regno Unito, direttamente o tramite trasferimento successivo, a un'entità del Fornitore situata in un paese al di fuori del Regno Unito che non è riconosciuto dall'autorità di regolazione competente del Regno Unito o dal corpo governativo del Regno Unito come fornitori di un livello adeguato di protezione per i dati personali.
9.3.2.1
Saremo considerati l'importatore dei dati e tu sarai considerato l'esportatore dei dati ai sensi delle Clausole Contrattuali Standard del Regno Unito. La firma di ciascuna parte di questo DPA sarà trattata come firma delle Clausole Contrattuali Standard del Regno Unito, che saranno considerate incorporate in questo DPA. I dettagli richiesti ai sensi delle Clausole Contrattuali Standard del Regno Unito sono disponibili nell'Appendice I e nell'Appendice II di questo DPA. In caso di conflitto o incoerenza tra questo DPA e le Clausole Contrattuali Standard del Regno Unito, le Clausole Contrattuali Standard del Regno Unito prevarranno solo per quanto riguarda il trasferimento di Dati Personali dei Clienti dal Regno Unito.
10. Audit
10.1 Audit Report
La nostra piattaforma di comunicazione sarà regolarmente sottoposta ad audit in conformità con lo standard ISO 27001 (o equivalente). L'audit può, a nostra esclusiva discrezione, essere un audit interno o un audit eseguito da terzi. Su richiesta scritta, vi forniremo un riepilogo del rapporto di audit (“Audit Report”) in modo che possiate verificare la nostra conformità agli standard di audit e al presente DPA. Tali Audit Report, così come tutte le conclusioni o i risultati specificati in essi, sono le nostre Informazioni Riservate.
10.2 Richieste di Informazioni dei Clienti
Metteremo a vostra disposizione tutte le informazioni ragionevolmente necessarie per dimostrare la conformità agli obblighi stabiliti nel presente DPA. Forniremo risposte scritte a richieste ragionevoli di informazioni fatte da voi, comprese risposte a questionari sulla sicurezza delle informazioni e sugli audit che sono ragionevoli per scopo e necessarie per confermare la conformità con il presente DPA, a condizione che voi (i) abbiate prima fatto uno sforzo ragionevole per ottenere le informazioni richieste dalla Documentazione, dagli Audit Report e da altre informazioni fornite o rese pubbliche da noi, e (ii) non eserciterete questo diritto più di una volta all'anno, a meno che una violazione dei dati personali o un cambiamento significativo nelle nostre attività di trattamento in relazione ai Servizi non richieda l'esecuzione di un questionario aggiuntivo. Tutte le risposte fornite sono le nostre Informazioni Riservate.
10.3 Audit del Cliente
Se un Audit Report fornito da noi a voi vi dà ragioni motivate per credere che siamo in violazione dei nostri obblighi previsti dal presente DPA, relativi ai Dati Personali del Cliente forniti da voi, permetteremo a un revisore terzo indipendente e qualificato nominato da voi e approvato da noi, di verificare le attività di trattamento dei Dati Personali rilevanti e applicabili, a condizione che, nella misura massima consentita dalla legge applicabile, siano soddisfatti i seguenti requisiti:
a) Dovrete darci un preavviso ragionevole di almeno sessanta (60) giorni prima di esercitare il diritto di audit;
b) Il revisore accetta obblighi di riservatezza standard di mercato con noi;
c) Voi e il revisore adottate misure per ridurre al minimo i disagi alle nostre operazioni aziendali;
d) L'audit verrà svolto durante l'orario lavorativo normale;
e) Non saremo obbligati a fornire accesso ai dati dei clienti di altri clienti o a sistemi non coinvolti nella fornitura dei Servizi;
f) e Voi pagherete tutti i costi dell'audit.
11. Cancellazione e Restituzione dei Dati Personali del Cliente
Upon termination or expiration of the Agreement, we will (at your election) delete or return to you all Customer Personal Data (including copies) in our possession or control, save that this requirement will not apply to the extent we are required by law to retain some or all of the Customer Personal Data. If you instruct us to delete Customer Personal Data, Customer Personal Data archived on our back up systems will be protected from further processing, and deleted when the required retention period has passed.
12. Comunicazione e diritti dell'affiliato cliente
La stipula di questo DPA a nome e per conto di un Affiliato Cliente, come stabilito nella Sezione 1.2, costituisce un DPA separato tra noi e quell'Affiliato Cliente, soggetto a quanto segue:
12.1. Comunicazione
Il Cliente che è la parte contraente dell'Accordo rimarrà responsabile per il coordinamento di tutte le comunicazioni con noi in virtù di questo DPA e sarà autorizzato a fare e ricevere qualsiasi comunicazione relativa a questo DPA per conto dei suoi Affiliati Cliente.
12.2 Diritti degli Affiliati Cliente
Quando un Affiliato Cliente diventa parte del DPA con noi, esso, nella misura richiesta dalle Leggi sulla Protezione dei Dati, sarà autorizzato ad esercitare i diritti e richiedere i rimedi previsti in questo DPA, soggetto a quanto segue: (i) A meno che le Leggi sulla Protezione dei Dati richiedano che l'Affiliato Cliente eserciti un diritto o richieda un rimedio in base a questo DPA direttamente per conto proprio, le parti convengono che
(i) esclusivamente il Cliente che è parte contraente dell'Accordo eserciterà tale diritto o richiederà tale rimedio per conto dell'Affiliato Cliente, e
(ii) il Cliente che è parte contraente dell'Accordo eserciterà tali diritti in base a questo DPA non separatamente per ciascuno degli Affiliati Cliente individualmente, ma in maniera combinata per sé stesso e tutti i suoi Affiliati Cliente insieme. (ii) Le parti convengono che il Cliente che è parte contraente dell'Accordo, quando viene effettuato un audit in loco delle procedure relative alla protezione dei Dati Personali del Cliente per suo conto, come stabilito nella Sezione 10.3 di questo DPA, adotterà tutte le misure ragionevoli per limitare qualsiasi impatto su di noi combinando, nella misura ragionevolmente possibile, diverse richieste di audit effettuate per conto proprio e di tutti i suoi Affiliati Cliente in un unico audit.
Chiariamo che un Affiliato Cliente non diventa una parte contraente dell'Accordo.
13. California Consumer Privacy Act
Nei limiti in cui è applicabile, assumiamo i seguenti ulteriori impegni nei vostri confronti in relazione al trattamento dei Dati Personali del Cliente nell'ambito del CCPA.
13.1 I Nostri Obblighi in Base alle Leggi Statunitensi sulla Protezione dei Dati
I termini "business purpose," "commercial purpose," "consumer," "sell," e "share" usati in questa Sezione 13.1 hanno i significati loro attribuiti nel CCPA. Nella misura in cui è applicabile, ci atterremo al CCPA e tratteremo tutti i Dati Personali del Cliente soggetti al CCPA e ad altre Leggi sulla Protezione dei Dati statunitensi applicabili ("Dati Personali USA") in conformità con le disposizioni del CCPA e delle altre Leggi sulla Protezione dei Dati USA. Con riferimento ai Dati Personali USA, siamo un prestatore di servizi ai sensi del CCPA e un responsabile del trattamento ai sensi delle altre Leggi sulla Protezione dei Dati USA. Non venderemo i Dati Personali USA. Non conserveremo, utilizzeremo o divulgheremo alcun Dato Personale USA (i) per qualsiasi scopo diverso dagli scopi aziendali specificati nell'Accordo (incluso conservare, utilizzare o divulgare Dati Personali USA per uno scopo commerciale diverso dallo scopo aziendale specificato nell'Accordo o come altrimenti consentito dal CCPA o dalle leggi applicabili); o (ii) al di fuori del rapporto commerciale diretto con voi e noi.
13.2 Obblighi del Cliente
Voi dichiarate e garantite di aver informato l'Utente Finale che i Dati Personali sono utilizzati o condivisi in conformità con le leggi applicabili sulla protezione dei dati. Siete responsabili del rispetto dei requisiti delle leggi sulla protezione dei dati nella misura in cui vi sono applicabili in qualità di titolare del trattamento.
14. Legge applicabile e risoluzione delle controversie
Qualsiasi disputa, rivendicazione o controversia (“Disputes”) derivante da o correlata a questo DPA sarà disciplinata e interpretata secondo le leggi dei Paesi Bassi. Ogni Parte accetta che i tribunali competenti di Amsterdam avranno giurisdizione esclusiva per risolvere qualsiasi Dispute derivante da o correlata a questo DPA.
13.1 I nostri obblighi ai sensi delle leggi statunitensi sulla protezione dei dati
I termini “business purpose,” “commercial purpose,” “consumer,” “sell,” e “share” come utilizzati in questa Sezione 13.1 hanno i significati dati loro nel CCPA. Per quanto applicabile, ci conformeremo al CCPA e tratteremo tutti i Customer Personal Data soggetti al CCPA e ad altre leggi statunitensi sulla protezione dei dati (“U.S. Personal Data”) in conformità con le disposizioni del CCPA e di altre leggi statunitensi sulla protezione dei dati. Per quanto riguarda gli U.S. Personal Data, siamo un service provider ai sensi del CCPA e un data processor ai sensi di altre leggi statunitensi sulla protezione dei dati. Non venderemo gli U.S. Personal Data. Non conserveremo, utilizzeremo o divulgheremo alcun U.S. Personal Data (i) per qualsiasi scopo diverso dai business purposes specificati nell’Agreement (incluso il trattenimento, l’utilizzo o la divulgazione degli U.S. Personal Data per un commercial purpose diverso dal business purpose specificato nell’Agreement o come altrimenti consentito dal CCPA o dalle leggi applicabili); o (ii) al di fuori della relazione commerciale diretta tra te e noi.
APPENDICE I - DETTAGLI DEL TRATTAMENTO
Dove applicabile, questo Appendice I servirà come Allegato I alle Clausole Contrattuali Standard SEE.
Allegato I, Parte A. Elenco delle Parti
I termini "scopo aziendale,” “scopo commerciale,” “consumatore,” “vendere” e “condividere” così come usati in questa Sezione 13.1 hanno i significati dati loro nel CCPA. Nella misura applicabile, ci conformeremo al CCPA e tratteremo tutti i Dati Personali del Cliente soggetti al CCPA e ad altre Leggi sulla Protezione dei Dati degli Stati Uniti (“Dati Personali degli Stati Uniti”) in conformità con le disposizioni del CCPA e altre Leggi sulla Protezione dei Dati degli Stati Uniti. Per quanto riguarda i Dati Personali degli Stati Uniti, siamo un fornitore di servizi ai sensi del CCPA e un responsabile del trattamento ai sensi di altre Leggi sulla Protezione dei Dati degli Stati Uniti. Non venderemo i Dati Personali degli Stati Uniti. Non conserveremo, utilizzeremo o divulgheremo alcun Dato Personale degli Stati Uniti (i) per qualsiasi scopo diverso dagli scopi aziendali specificati nel Contratto (incluso il conservare, utilizzare o divulgare Dati Personali degli Stati Uniti per uno scopo commerciale diverso dallo scopo aziendale specificato nel Contratto o come altrimenti consentito dal CCPA o dalle leggi applicabili); o (ii) al di fuori del rapporto commerciale diretto tra te e noi.
Esportatore di dati
Cliente
Dettagli di contatto dell'esportatore di dati
L'indirizzo elencato nell'account del Cliente, o l'indirizzo email del proprietario dell'account del Cliente, o all'indirizzo email per cui il Cliente decide di ricevere avvisi ai sensi del Contratto.
Ruolo dell'esportatore di dati
Il ruolo dell'esportatore di dati è delineato nella Sezione 4 del DPA.
Firma e data
Se e quando applicabile, l'esportatore di dati è considerato aver firmato le Clausole Contrattuali Standard incorporate qui alla Data di Efficacia del DPA.
Importatore di dati
Fornitore
Dettagli di contatto dell'importatore di dati
Responsabile della Protezione dei Dati - privacy@bird.com
Ruolo dell'importatore di dati
L'importatore di dati agisce come responsabile del trattamento dei dati.
Firma e data
Se e quando applicabile, l'importatore di dati è considerato aver firmato le Clausole Contrattuali Standard incorporate qui alla Data di Efficacia del DPA.
Allegato I, Parte B. Descrizione del Trasferimento
1. Categorie di soggetti cui i Dati Personali sono trasferiti.
Utenti. Persone di contatto (persone fisiche) o dipendenti, collaboratori o lavoratori temporanei (attuali, potenziali, ex) del Cliente che utilizzano i Servizi (“Utenti”);
Utenti-finali. Qualsiasi individuo (i) i cui dettagli di contatto sono inclusi nella lista dei contatti del Cliente; (ii) le cui informazioni sono memorizzate su o raccolte tramite i Servizi, o (ii) a cui il Cliente invia comunicazioni o altrimenti interagisce o comunica tramite i Servizi (collettivamente, “Utenti-finali”). Sei tu come Cliente a determinare esclusivamente le categorie di soggetti inclusi nella comunicazione inviata tramite la nostra piattaforma di comunicazione.
2. Categorie di Dati Personali trasferiti
Dati Personali del Cliente contenuti in contenuti di comunicazione, dati di traffico, dati degli Utenti-finali e dati sull'uso del cliente.
Contenuto di comunicazione, che può includere Dati Personali o altre caratteristiche personalizzate, in base al contenuto della comunicazione come determinato dall'utente come Cliente.
Dati di traffico, che possono includere Dati Personali del Cliente su instradamento, durata o tempistica di una comunicazione come chiamata vocale, SMS o email, sia che riguardi un individuo che un'azienda.
Dati degli Utenti-finali, come numero di telefono, indirizzo email, nome di battesimo, cognome, nome del profilo, paese, identificatore di canale.
Dati sull'uso del Cliente, possono contenere dati che possono essere collegati a te come individuo inclusi in dati statistici e informazioni relative al tuo account e alle attività del servizio, approfondimenti relativi al servizio e rapporti analitici riguardanti le comunicazioni inviate e il supporto clienti.
3. Dati sensibili trasferiti
Dati sensibili trasferiti (se applicabile) e restrizioni o garanzie applicate che tengano pienamente conto della natura dei dati e del rischio connesso, come per esempio la limitazione rigorosa degli scopi, restrizioni di accesso (incluso l'accesso solo per il personale che ha seguito formazione specializzata), tenuta di un registro degli accessi ai dati, restrizioni per trasferimenti successivi o misure di sicurezza aggiuntive.
a) Contenuto di comunicazione. I dati sensibili possono, di volta in volta, essere trattati tramite i Servizi dove tu o i tuoi Utenti-finali scegliete di includere dati sensibili all'interno delle comunicazioni che vengono trasmesse utilizzando i Servizi. Sei responsabile di garantire che siano in atto garanzie adeguate prima di trasmettere o trattare, o prima di permettere ai tuoi Utenti-finali di trasmettere o trattare qualsiasi dato sensibile tramite i Servizi, in conformità con la Sezione 3.2 del Contratto.
b) Dati di traffico, dati Utenti-finali e dati sull'uso del cliente. Non ci sono dati sensibili contenuti nei dati di traffico, nei dati degli Utenti-finali o nei dati sull'uso del cliente.
4. La frequenza del trasferimento
La frequenza del trasferimento (ad esempio se i dati vengono trasferiti una tantum o in maniera continua): I Dati Personali del Cliente sono trasferiti in maniera continua per la durata del Contratto.
5. Natura del trattamento
Tratteremo i Dati Personali del Cliente nella misura necessaria per fornire i Servizi ai sensi del Contratto. Non vendiamo alcun Dato Personale, inclusi i Dati Personali del Cliente, e non condividiamo Dati Personali con terze parti per compenso o per interessi aziendali propri di quelle terze parti.
6. Scopo(i) del trasferimento dati e ulteriore trattamento
Tratteremo i Dati Personali del Cliente in qualità di responsabile del trattamento secondo le istruzioni del Cliente come stabilito in questo DPA, a meno che il trattamento non sia necessario per conformità a un obbligo legale a cui siamo soggetti, nel qual caso ci classificheremo come titolare del trattamento.
Contenuto di comunicazione, dati di traffico, dati Utenti-finali e dati sull'uso del Cliente. I Dati Personali contenuti nel contenuto di comunicazione, nei dati di traffico, nei dati degli Utenti-finali e nei dati sull'uso del Cliente saranno soggetti alle seguenti attività di trattamento di base:
a) Contenuto di comunicazione. La fornitura di prodotti e servizi di comunicazione programmabili, offerti sotto forma di interfacce di programmazione delle applicazioni (API) o tramite il Dashboard, al Cliente, includendo la trasmissione da o verso l'applicazione software del Cliente da o verso la nostra piattaforma di comunicazioni e altre reti di comunicazione.
b) Dati di traffico. I dati di traffico sono trattati per lo scopo della trasmissione delle comunicazioni su una rete di comunicazione elettronica o per la fatturazione in relazione a tale comunicazione. Questo può includere i Dati Personali del Cliente riguardanti l'instradamento, la durata o la tempistica di una comunicazione come chiamata vocale, SMS o email, sia che riguardi un individuo che un'azienda.
c) Dati Utenti-finali. I Dati Personali degli Utenti-finali sono richiesti per eseguire i Servizi e saranno trattati solo per gli scopi di trasmissione delle comunicazioni, supporto clienti e assicurare la conformità con i nostri obblighi legali.
d) Dati sull'uso del Cliente. I Dati Personali contenuti nei dati sull'uso del Cliente saranno soggetti alle attività di trattamento di fornitura dei Servizi ai sensi del Contratto, con l'obiettivo di fornire al Cliente informazioni sui Servizi e rapporti analitici riguardanti le comunicazioni inviate, il supporto clienti e il miglioramento continuo dei Servizi.
7. Periodo di conservazione dei Dati Personali
Il periodo per il quale i Dati Personali saranno conservati, o, se non è possibile, i criteri utilizzati per determinare tale periodo: Contenuti di comunicazione e dati di traffico. Per i contenuti di comunicazione e i dati di traffico contenuti nei Servizi SMS e Voice un periodo di conservazione di sei mesi si applica; Per i Servizi Video i contenuti di comunicazione e i dati di traffico sono conservati per un minimo di 30 giorni fino alla durata concordata con te; Per i servizi email i contenuti di comunicazione e i dati di traffico sono conservati per 72 ore; Per tutti gli altri servizi, i contenuti di comunicazione e i dati di traffico sono conservati per la durata dei Servizi, tranne se elimini i contenuti di comunicazione o i dati di traffico tramite le misure tecniche e organizzative fornite a te tramite i Servizi. Dati degli Utenti-finali. I dati degli Utenti-finali saranno trattati per la durata determinata dal Cliente, quando i dati degli Utenti-finali sono inclusi nei tuoi profili di contatto il periodo di conservazione predefinito è per la durata dei Servizi, soggetto alla Sezione 6(c) di questo Allegato I, Parte B. Dati sull'uso del Cliente. Alla risoluzione del Contratto, possiamo conservare, utilizzare e divulgare i Dati sull'Uso del Cliente per gli scopi stabiliti nella Sezione 6(d) di questo Allegato I, Parte B, soggetti agli obblighi di riservatezza stabiliti nel Contratto. Anonimizzeremo o cancelleremo i dati sull'uso del cliente quando non ne avremo più bisogno per gli scopi stabiliti nella Sezione 6(d) di questo Allegato I, Parte B.
7. Conservazione dei Dati Personali
Il periodo per il quale i Dati Personali saranno conservati, o, se non è possibile, i criteri utilizzati per determinare tale periodo:
Contenuti di comunicazione e dati di traffico;
Per i contenuti di comunicazione e i dati di traffico contenuti nei Servizi SMS e Voice un periodo di conservazione di sei mesi si applica;
Per i Servizi Video i contenuti di comunicazione e i dati di traffico sono conservati per un minimo di 30 giorni fino alla durata concordata con te;
Per i servizi email i contenuti di comunicazione e i dati di traffico sono conservati per 72 ore;
Per tutti gli altri servizi, i contenuti di comunicazione e i dati di traffico sono conservati per la durata dei Servizi, tranne se elimini i contenuti di comunicazione o i dati di traffico tramite le misure tecniche e organizzative fornite a te tramite i Servizi.
I dati degli Utenti-finali saranno trattati per la durata determinata dal Cliente, quando i dati degli Utenti-finali sono inclusi nei tuoi profili di contatto il periodo di conservazione predefinito è per la durata dei Servizi, soggetto alla Sezione 6(c) di questo Allegato I, Parte B.
Dati sull'uso del Cliente: Alla risoluzione del Contratto, possiamo conservare, utilizzare e divulgare i Dati sull'Uso del Cliente per gli scopi stabiliti nella Sezione 6(d) di questo Allegato I, Parte B, soggetti agli obblighi di riservatezza stabiliti nel Contratto. Anonimizzeremo o cancelleremo i dati sull'uso del cliente quando non ne avremo più bisogno per gli scopi stabiliti nella Sezione 6(d) di questo Allegato I, Parte B.
8. Per i trasferimenti a (Sub)responsabili del trattamento
Per i trasferimenti a (Sub)responsabili del trattamento, specificare anche oggetto, natura e durata del trattamento: Per i trasferimenti a Sub-responsabili, l'oggetto e la natura del trattamento sono delineati nella nostra panoramica dei Sub-responsabili e la durata è per la durata del Contratto.
Allegato I, Parte C. Autorità di vigilanza competente
L'Autorità Olandese per la Protezione dei Dati (Autoriteit Persoonsgegevens) sarà l'autorità di vigilanza competente.
APPENDIX II - Misure di Sicurezza Tecniche e Organizzative
Dove applicabile, questo Allegato II servirà come Allegato II alle Clausole Contrattuali Standard. Di seguito sono riportate ulteriori informazioni riguardanti le nostre misure di sicurezza tecniche e organizzative descritte di seguito.
Misure di Sicurezza Tecniche e Organizzative
Misure di pseudonimizzazione e protezione dei Dati Personali durante l'archiviazione e il transito:
Tutti i Dati Personali sono criptati durante il transito e a riposo e, nella misura pertinente dal punto di vista della sicurezza, trattati come se fossero classificati come dati sensibili. Le informazioni vengono sempre trasmesse tramite TLS con metodologie di crittografia aggiornate per impostazione predefinita.
Misure per garantire la riservatezza, l'integrità e la disponibilità e la resilienza continuativa dei sistemi e dei servizi di elaborazione:
Stipuliamo accordi che contengono clausole di riservatezza con i nostri dipendenti, appaltatori, fornitori e sub-responsabili. La nostra politica di continuità aziendale è di preparare la nostra attività e i servizi in caso di interruzioni prolungate causate da fattori al di fuori del nostro controllo e ripristinare i servizi nella massima misura possibile in un tempo minimo. Comprendiamo che i servizi che forniamo sono critici per i nostri clienti e pertanto abbiamo una tolleranza molto bassa per le interruzioni del servizio. I nostri tempi di recupero sono progettati per garantire che possiamo soddisfare i nostri obblighi verso tutti i nostri clienti.
Processi per testare, valutare e valutare regolarmente l'efficacia delle misure tecniche e organizzative per garantire la sicurezza dell'elaborazione:
L'obiettivo della sicurezza delle informazioni e del nostro Sistema di Gestione della Sicurezza delle Informazioni (ISMS) è proteggere la riservatezza, l'integrità e la disponibilità delle informazioni all'organizzazione, ai dipendenti, ai partner, ai clienti e ai sistemi informativi (autorizzati) e minimizzare il rischio di danni prevenendo incidenti di sicurezza e gestendo le minacce e le vulnerabilità di sicurezza. Il nostro team legale, il Responsabile della protezione dei dati e il team di sicurezza assicurano che le normative e gli standard applicabili siano integrati nei nostri quadri di sicurezza.
Misure per l'identificazione e l'autorizzazione degli utenti:
Seguiamo i principi di “necessità di sapere” e “minimo privilegio”. Promuoviamo l'uso del controllo dell'accesso basato sui ruoli. L'approvvigionamento e il disapprovvigionamento sono supervisionati dal team di sicurezza, con Single-Sign-On e 2FA come predefiniti. Sono stati definiti i proprietari di ciascun asset informativo, i quali sono responsabili di garantire che l'accesso ai loro sistemi sia appropriato e rivisto regolarmente. Ogni volta che si gestisce informazioni sensibili o si compie un'azione critica, utilizziamo il principio dei quattro occhi.
Misure per garantire la registrazione degli eventi:
I log di audit sono archiviati centralmente e monitorati regolarmente per eventi di sicurezza e sono mantenuti sicuri per evitare il rischio di manomissioni. La Politica di Gestione degli Incidenti applica il piano di risposta agli incidenti e le sue procedure. Queste linee guida sono seguite in caso di qualsiasi tipo di incidente di sicurezza o tecnico.
Misure per garantire la configurazione dei sistemi, inclusa la configurazione predefinita:
Seguiamo un processo di gestione del cambiamento coerente per tutte le modifiche all'ambiente di produzione della Communication Platform as a Service. Per elaborare ulteriormente, tutte le richieste di modifica (RFC) devono essere approvate da una parte designata ed eseguite secondo il processo formale di controllo delle modifiche. Il processo di controllo garantisce che le modifiche proposte siano riviste, autorizzate, testate, implementate e rilasciate in modo controllato; e che lo stato di ciascuna modifica proposta sia monitorato. Le basi di configurazione sono seguite per configurare i sistemi in modo sicuro seguendo le migliori pratiche. Inoltre, all'interno del reparto Engineering, viene utilizzato un radar tecnologico per definire quali tecnologie (linguaggi, strumenti di piattaforma, database e strumenti di gestione dati) possono essere adottate o devono essere evitate durante lo sviluppo.
Misure per la sicurezza fisica
Promuoviamo attivamente una politica di “Lavoro da Qualunque Posto” in modo che i nostri dipendenti siano liberi di lavorare da qualsiasi luogo desiderino. Tuttavia, abbiamo ancora le nostre sedi uffici. Non abbiamo aree sicure/centro dati nei nostri locali poiché siamo un'azienda completamente basata sul cloud. I nostri piani ufficio sono protetti da controlli di accesso fisico, telecamere a circuito chiuso e sicurezza vigilata.
Misure per la governance e la gestione della sicurezza IT interna e IT:
Manteniamo un programma di sicurezza basato sulla valutazione del rischio, che include salvaguardie amministrative, organizzative, tecniche e fisiche progettate per proteggere i servizi e la riservatezza, integrità e disponibilità dei dati dei clienti. Il nostro programma di sicurezza delle informazioni è impostato in modo sistematico e ben organizzato. Inoltre, si applicano requisiti legali e normativi per garantire la riservatezza, l'integrità e la disponibilità delle informazioni all'organizzazione, ai dipendenti, ai partner e ai clienti. Tutto ciò è tradotto nelle nostre politiche, procedure e linee guida di sicurezza delle informazioni. Abbiamo un Comitato di direzione della sicurezza responsabile del livello tattico della sicurezza delle informazioni. Questo comporta il coordinamento delle attività di sicurezza delle informazioni e la traduzione delle attività strategiche in attività operative per la nostra sicurezza e il mantenimento continuo della conformità normativa. Tutti i dipendenti sono responsabili della salvaguardia dei beni dell'azienda. Tutti i nostri dipendenti sono selezionati per competenza, esperienza e integrità. I dipendenti sono informati sulla sicurezza e protezione dei dati nelle fasi di inserimento, nonché attraverso corsi di formazione regolari specifici per team e altre presentazioni aziendali generali sull'importanza della protezione dei dati e della conformità alla sicurezza. Siamo certificati ISO 27001, gli standard di sicurezza delle informazioni riconosciuti a livello mondiale per i Sistemi di Gestione della Sicurezza delle Informazioni (ISMS).
Tutti i nostri provider di hosting sono certificati ISO 27001.
Siamo anche registrati presso l'Autorità olandese per i consumatori e i mercati. Ciò significa che siamo sempre responsabili e completamente trasparenti con i nostri clienti.
Siamo membri associati della Groupe Speciale Mobile Association (GSMA). La GSMA rappresenta gli interessi degli operatori di telefonia mobile a livello globale.
Siamo sempre aggiornati con tutte le leggi e i regolamenti applicabili, inclusi il Regolamento Generale sulla Protezione dei Dati e il Quadro di Protezione dei Dati UE-USA.
Misure per le certificazioni/assicurazioni di processi e prodotti:
Siamo soggetti a rigorose sorveglianze e audit di certificazione come parte della nostra conformità ISO/IEC 27001 ed eseguiamo regolarmente test di vulnerabilità delle applicazioni e test di penetrazione.
Misure per garantire la responsabilità:
Implementiamo politiche di sicurezza delle informazioni e protezione dei dati in conformità alle leggi applicabili e pubblichiamo una panoramica delle informazioni rilevanti del nostro ISMS (link). Abbiamo nominato un Direttore della Sicurezza dedicato, un Responsabile della Sicurezza delle Informazioni, un Responsabile della Conformità e un Responsabile della Protezione dei Dati e manteniamo la documentazione delle nostre attività di trattamento, inclusa la registrazione e la segnalazione degli incidenti di sicurezza che coinvolgono Dati Personali, ove applicabile.
Misure per garantire la cancellazione dei dati:
Garantiamo la cancellazione dei dati tramite un processo di cancellazione automatizzato all'interno del nostro ambiente di comunicazione e infrastruttura. Questo processo di cancellazione dei dati garantisce che tutti i dati non più necessari per soddisfare uno scopo specifico vengano rimossi dai nostri sistemi dopo l'elaborazione.