Nell'ambito della fornitura del servizio SparkPost ai nostri clienti, SparkPost potrebbe elaborare dati personali per conto del nostro cliente dove tali dati personali sono soggetti alle leggi europee sulla protezione dei dati come il GDPR. A tal fine, offriamo un allegato sulla protezione dei dati (DPA) come fornito di seguito. Il DPA sarà legalmente vincolante ed efficace solo se: (1) è eseguito qui; e (2) sei un cliente di SparkPost alla data in cui è completamente eseguito. Si prega di notare che, poiché abbiamo così tanti clienti, non siamo in grado di modificare il DPA per alcun cliente particolare. Tuttavia, se hai domande sul DPA, ti preghiamo di contattarci a privacy@sparkpost.com.
Definizioni
“Affiliato” significa qualsiasi entità che controlla direttamente o indirettamente, è controllata da, o è sotto il controllo comune con l'entità principale. “Controllo”, ai fini di questa definizione, significa possesso diretto o indiretto o controllo di oltre il 50% degli interessi di voto dell'entità principale.
“Accordo” significa i Termini di Utilizzo e l'Ordine relativo, che insieme disciplinano la fornitura e l'uso del Servizio.
“CCPA” significa il California Consumer Privacy Act del 2018 e qualsiasi regolamento promulgato di conseguenza, in ciascun caso, come emendato di volta in volta.
“Clausole Contrattuali Standard per Controllore/Processore” significa i moduli “Controllore a Processore” (Modulo 2) delle Clausole Contrattuali Standard per il trasferimento di dati personali a paesi terzi ai sensi del GDPR e della Decisione di Esecuzione della Commissione Europea (UE) 2021/914 del 4 Giugno 2021.
“Leggi sulla Protezione dei Dati” significhiamo tutte le leggi e i regolamenti di qualsiasi giurisdizione applicabili alla riservatezza, alla privacy, alla sicurezza o al Trattamento dei Dati Personali ai sensi dell'Accordo, inclusi, se applicabile, il GDPR, il CCPA e tutte le altre leggi e regolamenti relativi alla privacy, al marketing diretto o alla protezione dei dati. “Controllore dei Dati” significa un'entità, singolarmente o congiuntamente con altri, che determina le finalità e i mezzi del Trattamento dei Dati Personali.
“Processore dei Dati” significa un'entità che tratta i Dati Personali per conto di un Controllore dei Dati. “Soggetto dei Dati” significa l'individuo a cui si riferiscono i Dati Personali.
“Richiesta del Soggetto dei Dati” significa la richiesta di un Soggetto dei Dati di esercitare i diritti di quella persona ai sensi delle Leggi sulla Protezione dei Dati rispetto ai Dati Personali di quella persona, inclusi, senza limitazione, il diritto di accesso, correzione, modifica, trasferimento, ottenere una copia, opporsi al trattamento, bloccare, eliminare o disattivare la vendita di tali Dati Personali. “EEA” significa lo Spazio Economico Europeo e la Svizzera.
“GDPR” significa (i) il Regolamento 2016/679 del Parlamento Europeo e del Consiglio sulla protezione delle persone fisiche rispetto al trattamento dei Dati Personali e sulla libera circolazione di tali dati (Regolamento Generale sulla Protezione dei Dati); oppure (ii) unicamente in relazione al Regno Unito, il Data Protection Act 2018.
“Dati Personali” significa qualsiasi informazione che identifichi, si riferisca a, descriva, o sia ragionevolmente in grado di essere associata a una persona fisica o a una famiglia identificata o identificabile.
“Trattamento” significa qualsiasi operazione o insieme di operazioni eseguite sui Dati Personali o su insiemi di Dati Personali, sia che avvengano o meno attraverso mezzi automatizzati, come raccolta, registrazione, organizzazione, strutturazione, archiviazione, adattamento o modifica, recupero, consultazione, utilizzo, divulgazione per trasmissione, disseminazione o altrimenti messa a disposizione, allineamento o combinazione, restrizione, cancellazione o distruzione.
“Clausole Contrattuali Standard per Processore/Sottoprocessore” significa i moduli “Processore a Processore” (Modulo 3) delle Clausole Contrattuali Standard per il trasferimento di dati personali a paesi terzi ai sensi del GDPR e della Decisione di Esecuzione della Commissione Europea (UE) 2021/914 del 4 Giugno 2021.
“Autorità di Regolamentazione” significa l'autorità europea di protezione dei dati o altra autorità regolamentare, governativa o di supervisione con autorità su tutta o parte (a) della fornitura o ricezione del Servizio; (b) il Trattamento dei Dati Personali in connessione con il Servizio; o (c) il business o il personale di SparkPost relativo al Servizio.
“Incidente di Sicurezza” significa qualsiasi distruzione, perdita, alterazione, divulgazione, accesso o crittografia accidentale, non autorizzata o illecita dei Dati Personali.
“Servizio” significa qualsiasi prodotto o servizio fornito da SparkPost al Cliente ai sensi dell'Accordo.
“Clausole Contrattuali Standard EEA” significano (i) le Clausole Contrattuali Standard per Controllore/Processore; o (ii) le Clausole Contrattuali Standard per Processore/Sottoprocessore, singolarmente o collettivamente, come applicabile.
“Sottoprocessore” significa l'entità che tratta i Dati Personali per conto di un'entità che agisce come Processore o Sottoprocessore.
“Clausole Contrattuali Standard Regno Unito” significano le clausole contrattuali standard per il trasferimento di dati personali ai processori stabiliti in paesi terzi nella forma stabilita dalla Decisione della Commissione Europea 2010/87/UE, come possono essere emendate, modificate o sostituite dalla Commissione Europea.
Rapporto con l'accordo
Le parti concordano che questo DPA sostituirà qualsiasi addendum esistente sulla protezione dei dati o accordo simile a cui le parti potrebbero aver precedentemente aderito in relazione ai Servizi.
Questo DPA si applica dove e solo nella misura in cui SparkPost elabora Dati Personali soggetti alle Leggi sulla Protezione dei Dati nel corso della fornitura del Servizio ai sensi dell'Accordo.
Salvo le modifiche apportate da questo DPA, l'Accordo rimane invariato e in pieno vigore ed efficacia. In caso di conflitto tra i termini di questo DPA e i termini dell'Accordo, questo DPA prevarrà nella misura di quel conflitto. In circostanze in cui SparkPost si basa sulle Clausole Contrattuali Standard dell'EEA o del Regno Unito (collettivamente, “Clausole Contrattuali Standard”), come applicabile, le Clausole Contrattuali Standard applicabili prevarranno in caso di conflitto con questo DPA.
Qualsiasi reclamo presentato ai sensi o in relazione a questo DPA sarà soggetto ai termini e alle condizioni, comprese ma non limitate a, le esclusioni e le limitazioni stabilite nell'Accordo. Le parti concordano che nessuna limitazione di responsabilità stabilita nell'Accordo si applicherà alla responsabilità di qualsiasi parte nei confronti dei Soggetti dei Dati ai sensi delle disposizioni sui beneficiari di terze parti delle Clausole Contrattuali Standard nella misura in cui la limitazione di tale responsabilità sia vietata dalle Leggi sulla Protezione dei Dati.
Questo DPA sarà regolato e interpretato in conformità con le disposizioni sulla legge applicabile e giurisdizione nell'Accordo, salvo diverso richiesto dalle Leggi sulla Protezione dei Dati applicabili. Questo DPA rimarrà in vigore finché SparkPost elabora Dati Personali, nonostante la scadenza o la cessazione dell'Accordo. RUOLI E AMBITO DEL PROCESSO.
Ruolo delle Parti.
Le parti riconoscono e concordano che, tra SparkPost e il Cliente: Per quanto riguarda i Dati Personali di qualsiasi individuo che accede e/o utilizza il Servizio tramite l'Account del Cliente (“Utenti”), il Cliente è il Titolare e SparkPost è il Responsabile del Trattamento dei Dati Personali degli Utenti; e per quanto riguarda i Dati Personali di qualsiasi individuo: (i) il cui indirizzo email è incluso nell'elenco dei destinatari del Cliente; (ii) le cui informazioni sono memorizzate o raccolte tramite il Servizio, o (ii) a cui gli Utenti inviano email o altrimenti interagiscono o comunicano tramite il Servizio (collettivamente, “Destinatari”), il Cliente è il Responsabile del Trattamento e SparkPost è il Sub-responsabile del Trattamento dei Dati Personali dei Destinatari.
Trattamento dei Dati Personali da parte del Cliente.
Il Cliente concorda che rispetterà i propri obblighi ai sensi delle Leggi sulla Protezione dei Dati applicabili in relazione al proprio Trattamento dei Dati Personali in connessione con il Servizio e in relazione a qualsiasi istruzione di Trattamento documentata che fornisce a SparkPost.
Trattamento dei Dati Personali da parte di SparkPost. Il Cliente istruisce SparkPost a trattare i Dati Personali in conformità con l'Accordo (incluso, per evitare dubbi, per adempiere ai propri altri obblighi e esercitare i propri diritti ai sensi dell'Accordo) e a conformarsi alle altre istruzioni ragionevoli del Cliente (ad esempio, tramite email) laddove tali istruzioni siano coerenti con l'Accordo. SparkPost dovrà: (i) trattare i Dati Personali solo per conto del Cliente e in conformità con le istruzioni legali documentate del Cliente e dovrà trattare i Dati Personali come informazioni riservate soggette alle disposizioni di riservatezza dell'Accordo; (ii) notificare per iscritto al Cliente immediatamente se, a parere ragionevole di SparkPost, SparkPost ritiene che qualsiasi istruzione fornita dal Cliente violi le Leggi sulla Protezione dei Dati; (iii) eseguire il Servizio e trattare i Dati Personali in conformità con le Leggi sulla Protezione dei Dati e l'Accordo; (iv) notificare prontamente al Cliente qualsiasi non conformità con questo DPA. Le parti concordano che questo DPA e l'Accordo stabiliscono le complete e definitive istruzioni del Cliente a SparkPost in relazione al trattamento dei Dati Personali e il trattamento al di fuori dell'ambito di queste istruzioni (se presenti) richiederà un accordo scritto preventivo tra il Cliente e SparkPost.
Dettagli del Trattamento dei Dati.
Oggetto: L'oggetto del trattamento dei dati ai sensi di questo DPA sono i Dati Personali.Durata: Tra SparkPost e il Cliente, la durata del trattamento dei dati ai sensi di questo DPA è fino alla risoluzione dell'Accordo in conformità con i suoi termini.
Finalità: La finalità del trattamento dei dati ai sensi di questo DPA è la fornitura del Servizio al Cliente e l'adempimento di SparkPost ai sensi dell'Accordo (incluso questo DPA) o come altrimenti concordato dalle parti.
Tipo di trattamento: SparkPost fornisce un servizio di consegna email, analisi e intelligenza e altri servizi correlati, come descritto nell'Accordo.Categorie di soggetti dei dati: Utenti e Destinatari.
Tipi di Dati Personali:
Cliente e Utenti: dati identificativi e di contatto (nome, indirizzo, titolo, dettagli di contatto, nome utente); informazioni finanziarie (dettagli dell'account, informazioni di pagamento); dettagli occupazionali (datore di lavoro, titolo di lavoro, posizione geografica, area di responsabilità);
Destinatari: dati identificativi e di contatto (nome, indirizzo email e altri dati demografici e di segmento forniti dal Cliente); informazioni IT (indirizzi IP, dati di utilizzo, dati dei cookie, dati di navigazione online, dati di posizione, dati del browser).
California Consumer Privacy Act.
SparkPost rispetterà il CCPA e tratterà tutti i Dati Personali soggetti al CCPA (“Dati Personali CCPA”) in conformità con le disposizioni del CCPA. Rispetto ai Dati Personali CCPA, SparkPost è un fornitore di servizi ai sensi del CCPA. SparkPost non (a) venderà Dati Personali CCPA; (b) conserverà, utilizzerà o divulgherà alcun Dato Personale CCPA per scopi diversi da quello specifico di fornire i Servizi, comprese la conservazione, l'uso o la divulgazione dei Dati Personali CCPA per uno scopo commerciale diverso dalla fornitura dei Servizi; o (c) conserverà, utilizzerà o divulgherà Dati Personali CCPA al di fuori della diretta relazione commerciale tra SparkPost e il Cliente. Le parti riconoscono e concordano che il Trattamento dei Dati Personali CCPA autorizzato dalle istruzioni del Cliente descritte nell'Accordo e in questo DPA è parte integrante e compresa nella fornitura dei Servizi da parte di SparkPost e nella diretta relazione commerciale tra le parti. Le parti riconoscono e concordano che l'accesso di SparkPost ai Dati del Cliente non costituisce parte della controprestazione scambiata dalle parti in relazione all'Accordo. Nella misura in cui eventuali Dati di Utilizzo siano considerati Dati Personali CCPA, SparkPost è l'azienda rispetto a tali dati e tratterà tali dati in conformità con la propria Politica sulla Privacy, che può essere trovata su https://www.sparkpost.com/policies/privacy/. I termini “azienda”, “scopo commerciale”, “fornitore di servizi” e “vendere” come utilizzati in questa Sezione hanno i significati a essi attribuiti nel CCPA. SparkPost e il Cliente certificano di comprendere e rispettare gli obblighi e le restrizioni stabiliti in questo DPA e nell'Accordo come richiesto ai sensi del CCPA.
Interessi Legittimi.
Il Cliente riconosce che SparkPost avrà il diritto di utilizzare e divulgare dati relativi all'operazione, al supporto e/o all'utilizzo del Servizio per i propri legittimi scopi commerciali, come la fatturazione, la gestione degli account, il supporto tecnico e lo sviluppo di prodotti. Nella misura in cui eventuali dati siano considerati Dati Personali ai sensi delle Leggi sulla Protezione dei Dati, SparkPost è il Titolare di tali dati e di conseguenza tratterà tali dati in conformità con la Politica sulla Privacy di SparkPost e le Leggi sulla Protezione dei Dati.
Tecnologie di Tracciamento.
Il Cliente riconosce che in relazione all'esecuzione del Servizio, SparkPost utilizza beacon web, pixel di tracciamento e tecnologie di tracciamento simili (“Tecnologie di Tracciamento”). Il Cliente manterrà una valida base giuridica per il trattamento come richiesto dalle Leggi sulla Protezione dei Dati per consentire a SparkPost di implementare le Tecnologie di Tracciamento legalmente su, e raccogliere dati dai dispositivi dei Destinatari in conformità con e come descritto nella Politica sulla Privacy di SparkPost.
Subappalto
Sub-processori autorizzati. Il cliente accetta che SparkPost possa utilizzare Sub-processori per elaborare i dati del cliente per conto del cliente. I Sub-processori ingaggiati da SparkPost e autorizzati dal cliente alla Data Efficace sono elencati su: https://www.sparkpost.com/policies/subprocessors. Obblighi del Sub-processore. SparkPost dovrà: (i) stipulare un contratto scritto con il Sub-processore che imponga termini di protezione dei dati che richiedono al Sub-processore di proteggere i Dati del Cliente secondo gli standard richiesti dalle Leggi sulla Protezione dei Dati; e (ii) rimanere responsabile del proprio rispetto degli obblighi di questo DPA e per qualsiasi atto o omissione del Sub-processore che provochi a SparkPost la violazione di uno qualsiasi dei suoi obblighi ai sensi di questo DPA.
Notifica. SparkPost fornirà (i) un elenco aggiornato dei Sub-processori che ha nominato su richiesta scritta del Cliente; e (ii) notificherà il Cliente (per il quale l'email sarà sufficiente) se aggiunge un Sub-processore almeno dieci (10) giorni prima di tali modifiche.
Obiezione. Il cliente può obiettare per iscritto alla nomina da parte di SparkPost di un nuovo Sub-processore entro cinque (5) giorni da tale notifica, a condizione che tale obiezione sia basata su motivi ragionevoli relativi alla protezione dei dati. In tal caso, le parti discuteranno tali preoccupazioni in buona fede con l'obiettivo di raggiungere una risoluzione. Se non si raggiunge una risoluzione entro un periodo di tempo ragionevole, il Cliente può risolvere l'Ordine(i) applicabile(i) solo in relazione al Servizio specifico che non può essere fornito da SparkPost senza l'uso del nuovo Sub-processore oggetto di obiezione, fornendo avviso scritto a SparkPost.
Sicurezza
Politica di Sicurezza.
Tenendo conto dello stato dell'arte, dei costi di implementazione e della natura, portata, contesto e finalità del Trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, SparkPost implementerà e manterrà adeguate misure tecniche e organizzative di sicurezza per proteggere i Dati Personali da Incidenti di Sicurezza e per preservare la sicurezza, integrità, disponibilità, resilienza e riservatezza dei Dati Personali e dei sistemi SparkPost utilizzati per il Trattamento dei Dati Personali.
Aggiornamenti alle Misure di Sicurezza.
Il Cliente è responsabile della revisione delle informazioni rese disponibili da SparkPost relative alla sicurezza dei dati e della determinazione indipendente se tali informazioni soddisfano i requisiti e le obbligazioni legali del Cliente ai sensi delle Leggi sulla Protezione dei Dati. Il Cliente riconosce che la Politica di Sicurezza è soggetta a progressi tecnici e sviluppo e che SparkPost può aggiornare o modificare di tanto in tanto la Politica di Sicurezza a condizione che tali aggiornamenti e modifiche non comportino l'abbassamento complessivo della sicurezza del Servizio acquistato dal Cliente.
Responsabilità del Cliente.
Nonostante quanto sopra, il Cliente concorda che è responsabile della protezione delle credenziali di autenticazione del proprio Account in custodia o controllo del Cliente e della protezione della sicurezza dei Dati Personali durante il trasferimento verso e dal Servizio nella misura in cui tali Dati Personali siano in custodia o controllo del Cliente.
Personale di SparkPost.
SparkPost garantirà che il suo personale impegnato nel Trattamento dei Dati Personali sia informato della natura riservata dei Dati Personali, abbia ricevuto una formazione adeguata sulle proprie responsabilità e abbia firmato accordi di riservatezza scritti in relazione ai Dati Personali che sopravvivono alla cessazione dell'impegno del personale.
Relazioni di audit e audit
Rapporto di Audit.
SparkPost viene regolarmente sottoposto a audit rispetto ai controlli SOC 2 Tipo II (o equivalenti) da parte di auditor indipendenti. Su richiesta, SparkPost fornirà una copia riassuntiva dei propri rapporti di audit (“Rapporto di Audit”) al Cliente, in modo che il Cliente possa verificare la conformità di SparkPost agli standard di audit rispetto ai quali è stato valutato, e questo DPA. Tali Rapporti di Audit, così come le conclusioni o i risultati specificati in essi, sono informazioni riservate di SparkPost.
Audit.
SparkPost metterà a disposizione del Cliente tutte le informazioni necessarie per dimostrare la conformità agli obblighi dei Data Processor stabiliti nell'Articolo 28 del GDPR (“Requisiti dell'Articolo 28”). A tal fine, SparkPost fornirà risposte scritte a tutte le richieste di informazioni ragionevoli fatte dal Cliente, incluse le risposte a questionari sulla sicurezza delle informazioni e sull'audit necessari per confermare la conformità di SparkPost ai Requisiti dell'Articolo 28, a condizione che il Cliente non eserciti questo diritto più di una volta all'anno. Tali risposte sono informazioni riservate di SparkPost. Se SparkPost non è in grado di fornire tutte le informazioni necessarie per dimostrare la conformità ai Requisiti dell'Articolo 28 tramite le risposte scritte, allora SparkPost consentirà e contribuirà a audit, comprese ispezioni, condotte dal Cliente o da un altro auditor che rappresenta il Cliente. Tutte le informazioni ottenute da SparkPost durante tale audit o ispezione sono informazioni riservate di SparkPost.
Trasferimenti internazionali
Località di elaborazione.
SparkPost può trasferire e elaborare i Dati del Cliente ovunque nel mondo dove SparkPost, le sue Affiliate o i suoi Sub-processori mantengono operazioni di elaborazione dati. SparkPost fornirà sempre un adeguato livello di protezione per i Dati del Cliente elaborati, in conformità con i requisiti delle Leggi sulla Protezione dei Dati.
Clausole Contrattuali Standard.
Nella misura in cui SparkPost elabora Dati Personali ai sensi dell'Accordo che richiede un meccanismo di trasferimento successivo per trasferire legalmente i Dati Personali dallo Spazio Economico Europeo (SEE) o dal Regno Unito (il “Regno Unito”) in un altro paese o territorio che non è stato determinato come fornitore di un adeguato livello di protezione per i diritti e le libertà dei Soggetti dei Dati dalla Commissione Europea (o, specificamente per quanto riguarda il Regno Unito, come può essere determinato dal pertinente organo di regolamentazione del Regno Unito) (un “Trasferimento Riservato”), le parti concordano come segue:
Clausole Contrattuali Standard del SEE.
Le parti concordano di conformarsi alle Clausole Contrattuali Standard del SEE per qualsiasi Trasferimento Riservato dal SEE (un “Trasferimento Riservato dal SEE”). Quando il Cliente è un Titolare e SparkPost è un Responsabile come ulteriormente descritto nella Sezione 3.1, le Clausole Contrattuali Standard Titolare/Responsabile si applicheranno a qualsiasi Trasferimento Riservato dal SEE. Quando il Cliente è un Responsabile e SparkPost è un Sub-responsabile come ulteriormente descritto nella Sezione 3.1, le Clausole Contrattuali Standard Responsabile/Sub-responsabile si applicheranno a qualsiasi Trasferimento Riservato dal SEE. SparkPost sarà considerato l'importatore di dati e il Cliente sarà considerato l'esportatore di dati ai sensi delle Clausole Contrattuali Standard del SEE. La firma di questo DPA da parte di ciascuna parte sarà considerata come la firma delle Clausole Contrattuali Standard del SEE applicabili, che saranno ritenute incorporate in questo DPA. I dettagli richiesti ai sensi dell'Allegato 1 e dell'Allegato 2 delle Clausole Contrattuali Standard del SEE sono disponibili nell'Allegato 1 e nell'Allegato 2 di questo DPA. In caso di conflitto o incongruenza tra questo DPA e le Clausole Contrattuali Standard del SEE, le Clausole Contrattuali Standard del SEE prevarranno esclusivamente in relazione ai Trasferimenti Riservati dal SEE. Dove le Clausole Contrattuali Standard del SEE richiedono alle parti di scegliere tra clausole opzionali e di inserire informazioni, le parti hanno fatto quanto segue:
La Clausola Opzionale 7 “Clausola di adesione” non sarà adottata.
Per la Clausola 9 “Uso di sub-processori”, le parti scelgono la seguente opzione: “Opzione 2 Autorizzazione scritta generale: L'importatore di dati ha l'autorizzazione generale del titolare per l'impegno di sub-processori da un elenco concordato. L'importatore di dati deve informare specificamente il titolare per iscritto di eventuali modifiche previste a tale elenco attraverso l'aggiunta o la sostituzione di sub-processori con almeno 30 giorni di calendario di preavviso, dando così al titolare un tempo sufficiente per poter obiettare a tali modifiche prima dell'impegno dei sub-processori. L'importatore di dati deve fornire al titolare le informazioni necessarie per consentire al titolare di esercitare il proprio diritto di obiezione. L'importatore di dati deve informare l'esportatore di dati dell'impegno dei sub-processori.
“Per la Clausola 11 (a) “Rimedio”, le parti non adottano l'Opzione.
Per la Clausola 17 “Legge applicabile”, le parti scelgono la seguente opzione: “Opzione 1. Queste Clausole saranno disciplinate dalla legge di uno degli Stati membri dell'UE, a condizione che tale legge consenta diritti di beneficiario terzo. Le Parti concordano che questa sarà la legge dei Paesi Bassi.
“Per la Clausola 18 (b) “Scelta del Foro e Giurisdizione”: “Le Parti concordano che questi saranno i tribunali dei Paesi Bassi.
”Clausole Contrattuali Standard del Regno Unito. Le parti concordano di conformarsi alle Clausole Contrattuali Standard del Regno Unito per qualsiasi Trasferimento Riservato dal Regno Unito (un “Trasferimento Riservato dal Regno Unito”). SparkPost sarà considerato l'importatore di dati e il Cliente sarà considerato l'esportatore di dati ai sensi delle Clausole Contrattuali Standard del Regno Unito. La firma di questo DPA da parte di ciascuna parte sarà considerata come la firma delle Clausole Contrattuali Standard del Regno Unito, che saranno ritenute incorporate in questo DPA. I dettagli richiesti ai sensi dell'Allegato 1 e dell'Allegato 2 delle Clausole Contrattuali Standard del Regno Unito sono disponibili nell'Allegato 1 e nell'Allegato 2 di questo DPA. In caso di conflitto o incongruenza tra questo DPA e le Clausole Contrattuali Standard del Regno Unito, le Clausole Contrattuali Standard del Regno Unito prevarranno esclusivamente in relazione ai Trasferimenti Riservati dal Regno Unito.
Cooperazione.
Se SparkPost non è in grado di rispettare questo requisito o se le autorità o i tribunali competenti cessano di riconoscere le Clausole Contrattuali Standard del SEE o le Clausole Contrattuali Standard del Regno Unito, come applicabili, come fornitrici di un livello adeguato di protezione, SparkPost informerà il Cliente e collaborerà ragionevolmente con il Cliente per garantire che qualsiasi Elaborazione di Dati Personali rispetti le Leggi sulla Protezione dei Dati e qualsiasi restrizione di trasferimento ivi, incluso il raggiungimento di certificazioni alternative, se necessario e applicabile.
Meccanismo di Trasferimento Alternativo.
Le parti concordano che la soluzione di esportazione dei dati identificata nella Sezione 7.2 (Clausole Contrattuali Standard) non si applicherà se e nella misura in cui SparkPost adotta o mantiene una soluzione alternativa di esportazione dei dati per il trasferimento legale dei Dati Personali (come riconosciuto dalle Leggi sulla Protezione dei Dati) al di fuori del SEE e/o del Regno Unito e che è stata approvata dal Cliente per iscritto prima di qualsiasi trasferimento o altra Elaborazione di Dati Personali (“Meccanismo di Trasferimento Alternativo”), nel qual caso, il Meccanismo di Trasferimento Alternativo si applicherà invece (ma solo nella misura in cui tale Meccanismo di Trasferimento Alternativo si estende ai territori in cui i Dati Personali sono trasferiti).
Sicurezza aggiuntiva
Riservatezza del trattamento.
SparkPost garantirà che qualsiasi persona autorizzata da SparkPost a trattare Dati Personali (incluso il suo personale, agenti e subappaltatori) sarà soggetta a un adeguato obbligo di riservatezza (sia un dovere contrattuale che legale).
Risposta agli incidenti di sicurezza e notifica.
Non appena diventa a conoscenza di un incidente di sicurezza, SparkPost notificherà il Cliente senza ingiustificato ritardo e fornirà informazioni tempestive relative all'incidente di sicurezza man mano che divengono disponibili o come ragionevolmente richiesto dal Cliente.
Restituzione o cancellazione dei dati
Al termine o alla scadenza dell'Accordo, SparkPost eliminerà o restituirà (a scelta del Cliente) al Cliente tutti i Dati Personali (comprese le copie) in suo possesso o controllo, salvo che questo requisito non si applichi nella misura in cui SparkPost sia tenuta per legge applicabile a conservare alcuni o tutti i Dati Personali, o ai Dati Personali che ha archiviato nei sistemi di backup, i quali Dati Personali SparkPost isolerà e proteggerà in modo sicuro da ulteriori elaborazioni, eccetto nella misura richiesta dalla legge applicabile. COOPERAZIONE.
Indennizzo.
Entrambe le parti concordano di difendere e indennizzare l'altra (compresi i propri direttori, funzionari, dipendenti e agenti) da e contro qualsiasi rivendicazione di terzi (incluse le autorità governative e i Destinatari) e relative spese e costi (incluse le spese legali ragionevoli) derivanti dalla violazione effettiva o presunta di questo DPA.
Richieste degli Interessati.
Il Servizio fornisce al Cliente una serie di strumenti che il Cliente può utilizzare per recuperare, correggere, eliminare o limitare i Dati del Cliente, che il Cliente può utilizzare per assisterlo in relazione ai propri obblighi ai sensi delle Leggi sulla Protezione dei Dati, inclusi, ad esempio, i suoi obblighi relativi alla risposta alle Richieste degli Interessati. Nella misura in cui il Cliente non sia in grado di accedere in modo indipendente ai rilevanti Dati del Cliente all'interno del Servizio, SparkPost fornirà una cooperazione ragionevole per assistere il Cliente a rispondere tempestivamente a qualsiasi Richiesta degli Interessati relativa all'elaborazione dei Dati Personali ai sensi dell'Accordo entro le scadenze imposte dalle Leggi sulla Protezione dei Dati. Nel caso in cui tale richiesta venga fatta direttamente a SparkPost, SparkPost notifierà prontamente il Cliente per iscritto di tale richiesta al momento della ricezione.
Registri di Elaborazione.
Su richiesta del Cliente, SparkPost metterà a disposizione in modo tempestivo le informazioni richieste dal Cliente per dimostrare la conformità di SparkPost ai propri obblighi ai sensi delle Leggi sulla Protezione dei Dati e di questo DPA.
Richieste Governative.
Se un'agenzia di sicurezza invia a SparkPost una richiesta di Dati Personali (ad esempio, tramite una citazione o un'ordinanza del tribunale), SparkPost cercherà di reindirizzare l'agenzia di sicurezza a richiedere quei dati direttamente dal Cliente. Come parte di questo sforzo, SparkPost potrebbe fornire le informazioni di contatto di base del Cliente all'agenzia di sicurezza. Se costretta a divulgare i Dati del Cliente a un'agenzia di sicurezza, SparkPost darà al Cliente un preavviso ragionevole della richiesta per consentire al Cliente di richiedere un'ordinanza di protezione o altro rimedio appropriato, a meno che SparkPost non sia legalmente vietata dal farlo.
Valutazioni d'Impatto sulla Protezione dei Dati.
Nella misura in cui SparkPost sia tenuta ai sensi delle Leggi sulla Protezione dei Dati applicabili, SparkPost fornirà le informazioni ragionevolmente richieste riguardanti il Servizio per consentire al Cliente di svolgere valutazioni d'impatto sulla protezione dei dati o consultazioni preliminari con le autorità di protezione dei dati come richiesto dalla legge o ai sensi degli Articoli 35 e 36 o del GDPR, rispettivamente.
***
PROGRAMMA 1
ALLEGATO I AI CLAUSOLE CONTRATTUALI STANDARD SEE
Se applicabile, questo Allegato 1 servirà come Allegato I ai Clausi Contrattuali Standard SEE.
ALLEGATO 1, PARTE A: ELENCO DELLE PARTI
Esportatore di Dati: Cliente
Dettagli di Contatto dell'Esportatore di Dati: L'indirizzo elencato nel blocco della firma del Cliente sopra, o l'indirizzo email del proprietario dell'account del Cliente, o all'indirizzo email per il quale il Cliente ha scelto di ricevere avvisi ai sensi dell'Accordo.
Ruolo dell'Esportatore di Dati: Il ruolo dell'Esportatore di Dati è delineato nella Sezione 3 del DPA.
Firma & Data: L'Esportatore di Dati è considerato aver firmato le Clausole Contrattuali Standard SEE incorporate nel presente a decorrere dalla Data Efficace del DPA.
Importatore di Dati: Message Systems, Inc. (dba SparkPost)
Dettagli di Contatto dell'Importatore di Dati: Responsabile della Protezione dei Dati di SparkPost – privacy@sparkpost.com
Ruolo dell'Importatore di Dati: Il ruolo dell'Importatore di Dati è delineato nella Sezione 3 del DPA.
Firma & Data: L'Importatore di Dati è considerato aver firmato le Clausole Contrattuali Standard SEE incorporate nel presente a decorrere dalla Data Efficace del DPA.
ALLEGATO 1, PARTE B: DESCRIZIONE DEL TRASFERIMENTO
Le categorie di soggetti i cui dati personali vengono trasferiti sono descritte nella Sezione 3.4 del DPA. Le categorie di dati personali trasferiti sono descritte nella Sezione 3.4 del DPA. Dati sensibili trasferiti (se applicabile) e restrizioni o misure di sicurezza applicate che considerano pienamente la natura dei dati e i rischi coinvolti, come ad esempio la limitazione rigorosa dello scopo, restrizioni di accesso (compreso l'accesso solo per il personale che ha seguito una formazione specializzata), registrazione degli accessi ai dati, restrizioni per trasferimenti successivi o misure di sicurezza aggiuntive:
Nessuno. La frequenza del trasferimento (ad es. se i dati vengono trasferiti una sola volta o in modo continuativo): I dati vengono trasferiti in modo continuativo per la durata dell'Accordo.
La natura del trattamento è descritta nella Sezione 3.4 del DPA. Lo scopo(i) del trasferimento dei dati e del successivo trattamento è descritto nella Sezione 3.4 del DPA.
Il periodo per il quale i dati personali saranno conservati, oppure, se ciò non è possibile, i criteri utilizzati per determinare quel periodo:
Per la durata dell'Accordo o più a lungo se richiesto dalla legge applicabile e come consentito dall'Accordo.
Per i trasferimenti a sub-processori, specificare anche oggetto, natura e durata del trattamento:
Per i trasferimenti a sub-processori, l'oggetto e la natura del trattamento sono delineati su https://www.sparkpost.com/policies/subprocessors/ e la durata è per la durata dell'Accordo.
ALLEGATO 1, PARTE C: AUTORITÀ DI CONTROLLO COMPETENTE
L'Autorità Olandese per la Protezione dei Dati (Autoriteit Persoonsgegevens) sarà l'autorità di controllo competente.
***
ALLEGATO II AL SCHEDA 2 DELLE CLAUSOLE CONTRATTUALI STANDARD SEE
Quando applicabile, questo Allegato 2 servirà come Allegato II alle Clausole Contrattuali Standard. Le seguenti informazioni forniscono ulteriori dettagli riguardo alle misure di sicurezza tecniche e organizzative di SparkPost indicate di seguito.
Ulteriori informazioni sulle misure di sicurezza tecniche e organizzative di SparkPost per proteggere i Dati dei Clienti, un riepilogo dei quali è disponibile su: https://www.sparkpost.com/policies/security/ ("Politica di Sicurezza").
Misure di Sicurezza Tecniche e Organizzative:
Misure di pseudonimizzazione e crittografia dei dati personali: SparkPost mantiene i dati dei clienti in un formato crittografato a riposo e in transito utilizzando SSL, HTTPS e TLS opportunistico secondo necessità.
Misure per garantire la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi di elaborazione e dei servizi: SparkPost accetta obblighi di riservatezza nei suoi accordi con i clienti. SparkPost entra anche in contratti che contengono disposizioni di riservatezza sostanzialmente simili con i dipendenti, i contraenti, i fornitori e i sub-processori di SparkPost. SparkPost mantiene un'elevata disponibilità e resilienza dei sistemi e dei servizi attraverso più zone di disponibilità dei data center indipendenti dai guasti. Inoltre, SparkPost ha implementato e mantiene un Piano di Continuità Operativa e Recupero da Disastri per garantire che i dati dei clienti siano preservati e i servizi possano continuare ad essere forniti.
Misure per garantire la capacità di ripristinare la disponibilità e l'accesso ai dati personali in modo tempestivo in caso di incidente fisico o tecnico: I dati dei clienti sono ospitati presso Amazon Web Services ("AWS"), che fornisce ridondanza attraverso più zone di disponibilità. Come stated above, SparkPost ha anche implementato e mantiene un Piano di Continuità Operativa e Recupero da Disastri.
Processi per testare, valutare e valutare regolarmente l'efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento: SparkPost mantiene un programma di sicurezza delle informazioni scritto e completo, che include controlli fisici, tecnici e amministrativi appropriati per proteggere la sicurezza, l'integrità, la riservatezza e la disponibilità dei dati dei clienti, inclusi, senza limitazioni, la protezione dei dati dei clienti contro qualsiasi acquisizione, accesso, uso, divulgazione o distruzione non autorizzati o illeciti. Questo programma di sicurezza è stato progettato prendendo in considerazione il tipo di servizi forniti da SparkPost e la dimensione e complessità dell'attività di SparkPost. Oltre al nostro team di sicurezza interno che monitora costantemente la nostra sicurezza, SparkPost utilizza una terza parte per condurre test di vulnerabilità e penetrazione interni ed esterni per convalidare il perimetro e la postura difensiva interna con una cadenza regolare.
Misure per l'identificazione e l'autorizzazione degli utenti: I dipendenti di SparkPost sono tenuti a utilizzare credenziali di accesso uniche e password per l'autorizzazione. SparkPost utilizza i principi dell'accesso con il minimo privilegio quando fornisce accesso al sistema, che tiene conto della funzione lavorativa, del ruolo e delle responsabilità di ciascun dipendente nel determinare il livello e la durata di accesso appropriati. L'accesso richiede approvazione prima della fornitura e viene rimosso tempestivamente in caso di cambiamento di ruolo o cessazione.
Misure per la protezione dei dati durante la trasmissione: I dati dei clienti sono crittografati durante il transito tra il cliente e i servizi SparkPost utilizzando HTTPS. I dati dei clienti sono crittografati durante il transito tra SparkPost e il destinatario utilizzando TLS opportunistico. Misure per la protezione dei dati durante la conservazione: I dati dei clienti sono conservati in forma crittografata utilizzando lo Standard di Crittografia Avanzata.
Misure per garantire la sicurezza fisica delle sedi in cui vengono elaborati i dati personali: Gli uffici e le sedi della SparkPost hanno (i) monitoraggio e sorveglianza della sicurezza fisica; (ii) controlli di accesso per limitare l'accesso fisico; e (iii) registri dei visitatori. Tutti i contraenti e i visitatori sono tenuti a registrare la propria entrata e uscita negli uffici. I servizi operano su AWS e sono protetti dai controlli fisici, tecnici, organizzativi e amministrativi di Amazon. Informazioni dettagliate sulla sicurezza di AWS sono disponibili su https://aws.amazon.com/security/, https://aws.amazon.com/security/sharing-the-security-responsibility/, e https://aws.amazon.com/compliance/iso-27001-faqs/. Per i Report SOC di AWS, si prega di vedere https://aws.amazon.com/compliance/soc-faqs/.
Misure per garantire la registrazione degli eventi: Le attività dell'infrastruttura di produzione di SparkPost vengono raccolte centralmente e sono protette nel tentativo di prevenire manipolazioni e vengono monitorate per anomalie da un team di sicurezza addestrato.
Misure per garantire la configurazione dei sistemi, inclusa la configurazione predefinita: SparkPost valuta le modifiche alla sua piattaforma, applicazioni e infrastruttura di produzione in un modo che minimizzi i rischi e tali modifiche vengono implementate solo in conformità alla Politica di Sicurezza. SparkPost esegue numerose attività relative alla sicurezza per i Servizi attraverso diverse fasi del ciclo di vita della creazione del prodotto, dalla creazione della documentazione dei requisiti e della progettazione del prodotto fino alla fase di avvio. Queste attività includono l'esecuzione di (i) recensioni di sicurezza interne prima che nuovi Servizi siano distribuiti; (ii) test di penetrazione annuali da parte di terzi indipendenti; e (iii) analisi delle minacce per nuovi Servizi per rilevare eventuali potenziali minacce e vulnerabilità di sicurezza. SparkPost adotta un processo di gestione delle modifiche per amministrare le modifiche all'ambiente di produzione per i Servizi, comprese le modifiche al proprio software, applicazioni e sistemi sottostanti. Sono in atto monitoraggi per notificare al team di sicurezza delle modifiche apportate a infrastrutture e servizi critici che non rispettano i processi di gestione delle modifiche.
Misure per la governance e la gestione dell'IT interno e della sicurezza IT: SparkPost mantiene un programma di sicurezza basato sulla valutazione dei rischi, che include salvaguardie amministrative, organizzative, tecniche e fisiche ragionevolmente progettate per proteggere i servizi e la riservatezza, integrità e disponibilità dei dati dei clienti. Il programma di sicurezza di SparkPost è stato progettato tenendo in considerazione la natura dei servizi e la dimensione e complessità dell'attività di SparkPost. SparkPost ha un team di sicurezza dedicato che gestisce il programma di sicurezza delle informazioni di SparkPost e facilita e supporta audit e valutazioni indipendenti effettuati da terze parti. Il framework di sicurezza di SparkPost si basa sull'attestazione SOC2 Tipo II e include i seguenti criteri dei servizi di fiducia: Sicurezza, Disponibilità, Riservatezza e Privacy. La sicurezza è gestita ai livelli più alti dell'azienda, con il VP della Conformità e della Sicurezza IT che si incontra regolarmente con la direzione esecutiva per discutere delle problematiche e coordinare iniziative aziendali in materia di sicurezza e IT. Le politiche e gli standard di sicurezza delle informazioni vengono esaminati e approvati dalla direzione almeno annualmente e sono resi disponibili a tutti i pertinenti dipendenti di SparkPost per il loro riferimento.
Misure per certificazioni/garante dei processi e dei prodotti: SparkPost conduce vari audit di terze parti per attestare vari framework, incluso il SOC 2 Tipo II e test regolari di vulnerabilità e penetrazione delle applicazioni. Misure per garantire la minimizzazione dei dati: SparkPost non memorizza il corpo del messaggio di una Email dopo che è stata consegnata al Destinatario o è stata rifiutata o in altro modo respinta dal fornitore di caselle di posta, il che di solito si verifica in pochi secondi. In caso di rifiuto o rimbalzo, SparkPost conserverà il corpo del messaggio per un periodo di tempo limitato per consentire il ripristino della trasmissione dell'Email. Se la trasmissione continua a non avere successo, il corpo del messaggio viene eliminato permanentemente. SparkPost memorizza solo i Dati Personali del Destinatario in forma grezza per un periodo di tempo limitato dopo la trasmissione di un'Email a un Destinatario. Dopo il periodo di conservazione iniziale, i Dati Personali vengono pseudonimizzati attraverso un hash unidirezionale e vengono conservati solo nella loro forma pseudonimizzata. Per ulteriori informazioni su questo processo, si prega di vedere le nostre FAQ sui Dati disponibili a: https://www.sparkpost.com/policies/data-faq/. Inoltre, SparkPost ha integrato funzionalità di autoservizio nei Servizi che consentono ai Clienti di eliminare alcuni Dati dei Clienti, come indirizzi email dei Destinatari ed eventi di messaggi associati, su richiesta, di cui la documentazione per tale funzionalità è disponibile su: https://developers.sparkpost.com/api/data-privacy/.
Misure per garantire la responsabilità: SparkPost ha adottato misure per garantire la responsabilità, tra cui la conduzione di regolari audit di terze parti per garantire la conformità ai nostri standard di privacy e sicurezza. SparkPost implementa anche politiche di protezione dei dati in conformità con le leggi vigenti e pubblica una panoramica della Politica di Sicurezza (collegata sopra). SparkPost ha nominato un Responsabile della Protezione dei Dati e mantiene documentazione delle proprie attività di trattamento, inclusa la registrazione e la segnalazione di Incidenti di Sicurezza che coinvolgono Dati Personali, se applicabile.
Misure per consentire la portabilità dei dati e garantire la cancellazione: I Clienti hanno rapporti diretti con i loro Destinatari e sono responsabili nel rispondere a richieste provenienti dai loro utenti finali che desiderano esercitare i propri diritti ai sensi delle Leggi sulla Protezione dei Dati. SparkPost ha integrato funzionalità di autoservizio nei Servizi che consentono ai Clienti di eliminare alcuni Dati dei Clienti, come indirizzi email dei Destinatari ed eventi di messaggi associati su richiesta, di cui la documentazione per tale funzionalità è disponibile su: https://developers.sparkpost.com/api/data-privacy/. Inoltre, SparkPost ha integrato funzionalità di autoservizio per sopprimere future Email ai Destinatari (cioè, disiscrizione), di cui la documentazione per tale funzionalità è disponibile su https://developers.sparkpost.com/api/suppression-list/. Nella misura in cui il Cliente non è in grado di accedere in modo indipendente ai Dati dei Clienti pertinenti all'interno del Servizio, SparkPost fornirà una cooperazione ragionevole per assistere il Cliente a rispondere tempestivamente a qualsiasi Richiesta da Soggetti Giuridici relativa al trattamento dei Dati Personali nell'ambito dell'Accordo entro le scadenze imposte dalle Leggi sulla Protezione dei Dati. Nel caso in cui tale richiesta venga effettuata direttamente a SparkPost, SparkPost informerà il Soggetto Giuridico di inviare la propria richiesta al Cliente e il Cliente sarà responsabile di rispondere a tale richiesta.
Per trasferimenti a [sub]-processori, descrivere anche le misure tecniche e organizzative specifiche che il [sub]-processore dovrà adottare per fornire assistenza al titolare del trattamento e, per trasferimenti da un processore a un [sub]-processore, al trasferitore di dati: Quando SparkPost coinvolge un sub-processore sotto questo DPA, SparkPost e il sub-processore stipulano un accordo con termini di protezione dei dati sostanzialmente simili a quelli contenuti nel presente documento.
V2.0 2 novembre 2021
