Addendum sulla Protezione dei Dati SparkPost
Nell'ambito della fornitura del servizio SparkPost ai nostri clienti, SparkPost può elaborare dati personali per conto dei nostri clienti laddove tali dati personali siano soggetti a leggi sulla protezione dei dati dell'UE come il GDPR. A tal fine, offriamo un addendum sulla protezione dei dati (DPA) come indicato di seguito. Il DPA sarà legalmente vincolante ed efficace solo se: (1) è eseguito qui; e (2) sei cliente di SparkPost alla data in cui è completamente eseguito. Si prega di notare che, poiché abbiamo così tanti clienti, non siamo in grado di modificare il DPA per alcun cliente particolare. Tuttavia, se hai domande sul DPA, ti preghiamo di contattarci all'indirizzo privacy@sparkpost.com.
Definizioni
“Affiliate” significa qualsiasi entità che direttamente o indirettamente controlla, è controllata da, o è sotto controllo comune con l'entità soggetta. “Controllo,” ai fini di questa definizione, significa proprietà diretta o indiretta o controllo di più del 50% degli interessi di voto dell'entità soggetta.
“Accordo” significa i Termini di Utilizzo e l'Ordine correlato, che insieme regolano la fornitura e l'uso del Servizio.
“CCPA” significa il California Consumer Privacy Act del 2018 e qualsiasi regolamento emanato ai sensi dello stesso, in ogni caso, come modificato di volta in volta.
“Clausole Contrattuali Standard Controller/Processor” significa i moduli “Controller to Processor” (Modulo 2) delle Clausole Contrattuali Standard per il trasferimento di dati personali verso paesi terzi ai sensi del GDPR e della Decisione di Implementazione della Commissione Europea (UE) 2021/914 del 4 giugno 2021.
“Leggi sulla Protezione dei Dati” significa tutte le leggi e regolamenti di qualsiasi giurisdizione applicabile alla riservatezza, privacy, sicurezza o Trattamento dei Dati Personali ai sensi dell'Accordo, inclusi, ove applicabile, il GDPR, il CCPA e tutte le altre leggi e regolamenti relativi alla privacy, marketing diretto o protezione dei dati. “Titolare del Trattamento” significa un'entità, da sola o congiuntamente ad altri, che determina le finalità e i mezzi del Trattamento dei Dati Personali.
“Responsabile del Trattamento” significa un'entità che tratta i Dati Personali per conto di un Titolare del Trattamento. “Interessato” significa l'individuo a cui i Dati Personali si riferiscono.
“Richiesta dell'Interessato” significa la richiesta di un Interessato di esercitare i diritti di quella persona ai sensi delle Leggi sulla Protezione dei Dati in relazione ai Dati Personali di quella persona, incluso, senza limitazioni, il diritto di accesso, correzione, modifica, trasferimento, ottenere una copia, opporsi al trattamento, bloccare, cancellare o rinunciare alla vendita di tali Dati Personali. “SEE” significa l'Area Economica Europea e la Svizzera.
“GDPR” significa o (i) il Regolamento 2016/679 del Parlamento Europeo e del Consiglio sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati (regolamento generale sulla protezione dei dati); oppure (ii) unicamente per quanto riguarda il Regno Unito, il Data Protection Act 2018.
“Dati Personali” significa qualsiasi informazione che identifica, si riferisce, descrive, o è ragionevolmente capace di essere associata con una persona fisica identificata o identificabile o nucleo familiare.
“Trattamento” significa qualsiasi operazione o insieme di operazioni eseguite sui Dati Personali o su insiemi di Dati Personali, con o senza mezzi automatizzati, come raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o modifica, recupero, consultazione, utilizzo, divulgazione mediante trasmissione, diffusione o messa a disposizione in altro modo, allineamento o combinazione, limitazione, cancellazione o distruzione.
“Clausole Contrattuali Standard Processor/Sub-Processor” significa i moduli “Processor to Processor” (Modulo 3) delle Clausole Contrattuali Standard per il trasferimento di dati personali verso paesi terzi ai sensi del GDPR e della Decisione di Implementazione della Commissione Europea (UE) 2021/914 del 4 giugno 2021.
“Regolatore” significa l'autorità europea per la protezione dei dati o altra autorità di regolamentazione, governativa o di sorveglianza con autorità su tutta o parte di (a) la fornitura o ricezione del Servizio; (b) il Trattamento dei Dati Personali in connessione con il Servizio; o (c) l'attività o il personale di SparkPost in relazione al Servizio.
“Incidente di Sicurezza” significa qualsiasi distruzione, perdita, alterazione, divulgazione, accesso non autorizzato o illegale, o crittografia accidentale di Dati Personali.
“Servizio” significa qualsiasi prodotto o servizio fornito da SparkPost al Cliente ai sensi dell'Accordo.
“Clausole Contrattuali Standard SEE” significa o (i) le Clausole Contrattuali Standard Controller/Processor; oppure (ii) le Clausole Contrattuali Standard Processor/Sub-Processor, individualmente o collettivamente, ove applicabile.
“Sub-responsabile del Trattamento” significa l'entità che tratta i Dati Personali per conto di un'entità che agisce come Responsabile del Trattamento o un Sub-responsabile del Trattamento.
“Clausole Contrattuali Standard del Regno Unito” significa le clausole contrattuali standard per il trasferimento di dati personali ai responsabili del trattamento stabiliti in paesi terzi nella forma stabilita dalla Decisione della Commissione Europea 2010/87/UE, come può essere modificata, aggiornata o sostituita dalla Commissione Europea.
Relazione con l'accordo
Le parti concordano che questo DPA sostituirà qualsiasi addendum sulla protezione dei dati o accordo simile che le parti possano aver precedentemente stipulato in relazione ai Servizi.
Questo DPA si applica laddove e solo nella misura in cui SparkPost Elabora Dati Personali soggetti a Leggi sulla Protezione dei Dati nel corso della fornitura del Servizio secondo l'Accordo.
Salvo le modifiche apportate da questo DPA, l'Accordo rimane invariato e in pieno vigore ed effetto. In caso di conflitto tra i termini di questo DPA e i termini dell'Accordo, questo DPA prevarrà nella misura di quel conflitto. Nelle circostanze in cui SparkPost si basi sulle clausole contrattuali standard EEA o sulle clausole contrattuali standard del Regno Unito (collettivamente, “Clausole contrattuali standard”), a seconda dei casi, per il trasferimento di Dati Personali, le Clausole contrattuali standard applicabili prevarranno in caso di conflitto con questo DPA.
Qualsiasi reclamo presentato ai sensi o in connessione con questo DPA sarà soggetto ai termini e alle condizioni, inclusi ma non limitati a, le esclusioni e limitazioni stabilite nell'Accordo. Le parti concordano che nessuna limitazione di responsabilità stabilita nell'Accordo si applicherà alla responsabilità di qualsiasi parte nei confronti dei Soggetti dei Dati ai sensi delle disposizioni di terzo beneficiario delle Clausole contrattuali standard nella misura in cui la limitazione di tale responsabilità sia vietata dalle Leggi sulla Protezione dei Dati.
Questo DPA sarà regolato e interpretato in conformità con le disposizioni sulla legge e giurisdizione dell'Accordo, a meno che non sia richiesto diversamente dalle Leggi sulla Protezione dei Dati applicabili. Questo DPA rimarrà in vigore finché SparkPost Elabora Dati Personali, nonostante la scadenza o la risoluzione dell'Accordo. RUOLI E CAMPO DI ELABORAZIONE.
Ruolo delle Parti.
Le parti riconoscono e concordano che, tra SparkPost e il Cliente: Con riferimento ai Dati Personali di qualsiasi individuo che accede e/o utilizza il Servizio tramite l'Account del Cliente (“Utenti”), il Cliente è il Titolare del trattamento e SparkPost è il Responsabile del trattamento dei Dati Personali dell'Utente; e con riferimento ai Dati Personali di qualsiasi individuo: (i) il cui indirizzo email è incluso nell'elenco di destinatari del Cliente; (ii) le cui informazioni sono memorizzate o raccolte tramite il Servizio, o (ii) a cui gli Utenti inviano email o interagiscono o comunicano tramite il Servizio (collettivamente, “Destinatari”), il Cliente è il Responsabile del trattamento e SparkPost è il Sub-responsabile del trattamento dei Dati Personali dei Destinatari.
Elaborazione dei Dati Personali da parte del Cliente.
Il Cliente accetta che rispetterà i suoi obblighi ai sensi delle Leggi sulla Protezione dei Dati applicabili in merito all'Elaborazione dei Dati Personali in connessione con il Servizio e in merito a qualsiasi istruzione di Elaborazione documentata che invia a SparkPost.
Elaborazione dei Dati Personali da parte di SparkPost. Il Cliente istruisce SparkPost a Elaborare i Dati Personali in conformità con l'Accordo (incluso, per evitare dubbi, per svolgere i suoi altri obblighi ed esercitare i suoi diritti ai sensi dell'Accordo) e a rispettare le altre istruzioni ragionevoli del Cliente (ad esempio, tramite email) laddove tali istruzioni siano coerenti con l'Accordo. SparkPost dovrà: (i) Elaborare i Dati Personali solo per conto del Cliente e in conformità con le istruzioni documentate e legittime del Cliente e trattare i Dati Personali come informazioni riservate soggette alle disposizioni di riservatezza dell'Accordo; (ii) notificare immediatamente al Cliente per iscritto se, a ragionevole parere di SparkPost, ritiene che qualsiasi istruzione del Cliente violi le Leggi sulla Protezione dei Dati; (iii) eseguire il Servizio ed Elaborare i Dati Personali in conformità con le Leggi sulla Protezione dei Dati e l'Accordo; (iv) notificare tempestivamente al Cliente qualsiasi non conformità con questo DPA. Le parti concordano che questo DPA e l'Accordo stabiliscono le istruzioni complete e finali del Cliente a SparkPost relativamente all'elaborazione di Dati Personali e l'elaborazione al di fuori dell'ambito di queste istruzioni (se presente) richiederà un accordo scritto preliminare tra il Cliente e SparkPost.
Dettagli dell'Elaborazione dei Dati.
Oggetto: L'oggetto dell'elaborazione dei dati ai sensi di questo DPA sono i Dati Personali. Durata: Tra SparkPost e il Cliente, la durata dell'elaborazione dei dati ai sensi di questo DPA è fino alla risoluzione dell'Accordo in conformità con i suoi termini.
Scopo: Lo scopo dell'elaborazione dei dati ai sensi di questo DPA è la fornitura del Servizio al Cliente e la prestazione di SparkPost ai sensi dell'Accordo (incluso questo DPA) o come altrimenti concordato dalle parti.
Natura dell'elaborazione: SparkPost fornisce un servizio di consegna, analisi e intelligenza delle email e altri servizi correlati, come descritto nell'Accordo. Categorie di soggetti interessati: Utenti e Destinatari.
Tipi di Dati Personali:
Cliente e Utenti: dati di identificazione e contatto (nome, indirizzo, titolo, dettagli di contatto, username); informazioni finanziarie (dettagli del conto, informazioni sul pagamento); dettagli occupazionali (datore di lavoro, titolo professionale, ubicazione geografica, area di responsabilità);
Destinatari: dati di identificazione e contatto (nome, indirizzo email e altri dati demografici e di segmentazione forniti dal Cliente); informazioni IT (indirizzi IP, dati di utilizzo, dati dei cookie, dati di navigazione online, dati di localizzazione, dati del browser).
California Consumer Privacy Act.
SparkPost si impegna a rispettare il CCPA e a trattare tutti i Dati Personali soggetti al CCPA (“Dati Personali CCPA”) in conformità con le disposizioni del CCPA. In relazione ai Dati Personali CCPA, SparkPost è un fornitore di servizi ai sensi del CCPA. SparkPost non (a) venderà Dati Personali CCPA; (b) conserverà, utilizzerà o divulgherà qualsiasi Dato Personale CCPA per qualsiasi scopo diverso dallo specifico scopo di fornire i Servizi, incluso conservare, utilizzare o divulgare Dati Personali CCPA per uno scopo commerciale diverso dalla fornitura dei Servizi; o (c) conserverà, utilizzerà o divulgherà Dati Personali CCPA al di fuori della relazione commerciale diretta tra SparkPost e il Cliente. Le parti riconoscono e accettano che l'elaborazione dei Dati Personali CCPA autorizzata dalle istruzioni del Cliente descritte nell'Accordo e in questo DPA è parte integrante e compresa nella fornitura dei Servizi da parte di SparkPost e nella relazione commerciale diretta tra le parti. Le parti riconoscono e accettano che l'accesso ai Dati del Cliente da parte di SparkPost non costituisce parte della considerazione scambiata tra le parti in merito all'Accordo. Nella misura in cui qualsiasi Dato di Utilizzo sia considerato Dato Personale CCPA, SparkPost è l'azienda responsabile di tali dati e li elaborerà in conformità con la sua Informativa sulla Privacy, che può essere trovata su https://www.sparkpost.com/policies/privacy/. I termini “azienda”, “scopo commerciale”, “fornitore di servizi” e “vendere” come utilizzati in questa Sezione hanno i significati loro attribuiti nel CCPA. SparkPost e il Cliente certificano che comprendono e rispetteranno gli obblighi e le restrizioni stabiliti in questo DPA e nell'Accordo come richiesto dal CCPA.
Interessi Legittimi.
Il Cliente riconosce che SparkPost avrà il diritto di utilizzare e divulgare dati relativi al funzionamento, supporto e/o utilizzo del Servizio per i suoi legittimi scopi aziendali, come fatturazione, gestione degli account, supporto tecnico e sviluppo del prodotto. Nella misura in cui tali dati siano considerati Dati Personali ai sensi delle Leggi sulla Protezione dei Dati, SparkPost è il Titolare del Trattamento di tali dati e di conseguenza elaborerà tali dati in conformità con l'Informativa sulla Privacy di SparkPost e le Leggi sulla Protezione dei Dati.
Tecnologie di Tracciamento.
Il Cliente riconosce che, in relazione alla prestazione del Servizio, SparkPost utilizza beacon web, pixel di tracciamento e simili tecnologie di tracciamento (“Tecnologie di Tracciamento”). Il Cliente manterrà una base giuridica appropriata per la elaborazione come richiesto dalle Leggi sulla Protezione dei Dati per consentire a SparkPost di implementare legalmente le Tecnologie di Tracciamento sui dispositivi dei Destinatari e di raccogliere dati da essi in conformità e come descritto nell'Informativa sulla Privacy di SparkPost.
Subprocessamento
Sub-responsabili autorizzati. Il Cliente accetta che SparkPost possa coinvolgere Sub-responsabili per elaborare i Dati del Cliente per conto del Cliente. I Sub-responsabili coinvolti da SparkPost e autorizzati dal Cliente a partire dalla Data di Entrata in Vigore sono elencati su: https://www.sparkpost.com/policies/subprocessors.Obblighi del Sub-responsabile. SparkPost: (i) stipulerà un accordo scritto con il Sub-responsabile imponendo termini di protezione dei dati che richiedono al Sub-responsabile di proteggere i Dati del Cliente secondo lo standard richiesto dalle Leggi sulla Protezione dei Dati; e (ii) rimarrà responsabile per la sua conformità con gli obblighi di questo DPA e per eventuali atti o omissioni del Sub-responsabile che causano a SparkPost la violazione di qualsiasi obbligo ai sensi di questo DPA.
Notifica. SparkPost (i) fornirà una lista aggiornata dei Sub-responsabili che ha nominato su richiesta scritta del Cliente; e (ii) notificherà al Cliente (per il quale un'email sarà sufficiente) se aggiunge un Sub-responsabile almeno dieci (10) giorni prima di tali modifiche.
Obiezione. Il Cliente può opporsi per iscritto alla nomina di un nuovo Sub-responsabile da parte di SparkPost entro cinque (5) giorni da tale avviso, a condizione che tale opposizione sia basata su motivi ragionevoli relativi alla protezione dei dati. In tal caso, le parti discuteranno tali preoccupazioni in buona fede con l'obiettivo di raggiungere una risoluzione. Se non si raggiunge una risoluzione entro un tempo ragionevole, il Cliente può risolvere l'Ordine o gli Ordini applicabili solo in relazione al Servizio specifico che non può essere fornito da SparkPost senza l'uso del nuovo Sub-responsabile contestato, fornendo notifica scritta a SparkPost.
Security
Politica di Sicurezza.
Tenendo conto dello stato dell'arte, dei costi di implementazione e della natura, portata, contesto e finalità del Trattamento, nonché del rischio di probabilità e gravità variabili per i diritti e le libertà delle persone fisiche, SparkPost si impegna ad implementare e mantenere misure di sicurezza tecniche e organizzative appropriate per proteggere i Dati Personali da Incidenti di Sicurezza e preservare la sicurezza, l'integrità, la disponibilità, la resilienza e la riservatezza dei Dati Personali e dei sistemi SparkPost utilizzati per il Trattamento dei Dati Personali.
Aggiornamenti delle Misure di Sicurezza.
Il Cliente è responsabile di esaminare le informazioni messe a disposizione da SparkPost relative alla sicurezza dei dati e di fare una determinazione indipendente sul fatto che tali informazioni soddisfino i requisiti e gli obblighi legali del Cliente ai sensi delle Leggi sulla Protezione dei Dati. Il Cliente riconosce che la Politica di Sicurezza è soggetta a progressi e sviluppi tecnici e che SparkPost può aggiornare o modificare la Politica di Sicurezza di tanto in tanto, a condizione che tali aggiornamenti e modifiche non comportino la degradazione della sicurezza complessiva del Servizio acquistato dal Cliente.
Responsabilità del Cliente.
Nonostante quanto sopra, il Cliente concorda che è responsabile di proteggere le credenziali di autenticazione del proprio Account in custodia o controllo del Cliente e di proteggere la sicurezza dei Dati Personali durante il transito da e verso il Servizio nella misura in cui tali Dati Personali sono in custodia o controllo del Cliente.
Personale di SparkPost.
SparkPost garantirà che il suo personale impegnato nel Trattamento dei Dati Personali sia informato della natura riservata dei Dati Personali, abbia ricevuto una formazione adeguata sulle proprie responsabilità e abbia sottoscritto accordi scritti di riservatezza in relazione ai Dati Personali che sopravvivono alla cessazione dell'incarico del personale.
Rapporti di revisione e audit
Rapporto di Audit.
SparkPost è regolarmente sottoposto a verifiche rispetto ai controlli SOC 2 Tipo II (o equivalenti) da parte di revisori indipendenti. Su richiesta, SparkPost fornirà al Cliente una copia sommaria del suo rapporto di audit (“Rapporto di Audit”), affinché il Cliente possa verificare la conformità di SparkPost agli standard di audit ai quali è stato sottoposto, e a questa DPA. Tali Rapporti di Audit, così come qualsiasi conclusione o risultato specificati in essi, sono Informazioni Riservate di SparkPost.
Audit.
SparkPost metterà a disposizione del Cliente tutte le informazioni necessarie per dimostrare la conformità agli obblighi dei Responsabili del Trattamento dei Dati stabiliti nell'Articolo 28 del GDPR (“Requisiti dell’Articolo 28”). A tal fine, SparkPost fornirà risposte scritte a tutte le richieste ragionevoli di informazioni effettuate dal Cliente, comprese le risposte ai questionari di sicurezza delle informazioni e di audit necessari a confermare la conformità di SparkPost ai Requisiti dell’Articolo 28, a condizione che il Cliente non eserciti questo diritto più di una volta l'anno. Tali risposte sono Informazioni Riservate di SparkPost. Se SparkPost non è in grado di fornire tutte le informazioni necessarie a dimostrare la conformità ai Requisiti dell’Articolo 28 tramite le risposte scritte, allora SparkPost consentirà e contribuirà a audit, comprese le ispezioni, condotte dal Cliente o da un altro revisore rappresentante del Cliente. Tutte le informazioni ottenute da SparkPost durante tale audit o ispezione sono Informazioni Riservate di SparkPost.
Trasferimenti internazionali
Luoghi di Elaborazione.
SparkPost può trasferire ed elaborare Dati del Cliente ovunque nel mondo dove SparkPost, le sue Affiliate o i suoi Sub-processori mantengono operazioni di elaborazione dei dati. SparkPost fornirà sempre un livello adeguato di protezione per i Dati del Cliente elaborati, in conformità con i requisiti delle Leggi sulla Protezione dei Dati.
Clausole Contrattuali Standard.
Nella misura in cui SparkPost Elabora qualsiasi Dato Personale ai sensi dell'Accordo che richiede un meccanismo di trasferimento successivo per trasferire legalmente Dati Personali dall'EEA o dal Regno Unito (il “UK”) a un altro paese o territorio che non è stato determinato come fornisce un livello adeguato di protezione per i diritti e le libertà dei Soggetti dei Dati dalla Commissione Europea (o, specificamente per quanto riguarda il UK, come può essere determinato dall'ente regolatore UK) (un “Trasferimento Ristretto”), le parti concordano quanto segue:
Clausole Contrattuali Standard EEA.
Le parti concordano di conformarsi alle Clausole Contrattuali Standard EEA per qualsiasi Trasferimento Ristretto dall'EEA (un “Trasferimento Ristretto EEA”). Quando il Cliente è un Controllore e SparkPost è un Processore come ulteriormente descritto nella Sezione 3.1, le Clausole Contrattuali Standard del Controllore/Processore si applicheranno a tale Trasferimento Ristretto EEA. Quando il Cliente è un Processore e SparkPost è un Sub-processore come ulteriormente descritto nella Sezione 3.1, le Clausole Contrattuali Standard del Processore/Sub-processore si applicheranno a tale Trasferimento Ristretto EEA. SparkPost sarà considerato l'importatore di dati e il Cliente sarà considerato l'esportatore di dati ai sensi delle Clausole Contrattuali Standard EEA. La firma di ciascuna parte di questo DPA sarà considerata come la firma delle Clausole Contrattuali Standard EEA applicabili, che saranno considerate incorporate in questo DPA. I dettagli richiesti ai sensi dell'Annex 1 e Annex 2 delle Clausole Contrattuali Standard EEA sono disponibili nell'Allegato 1 e Allegato 2 di questo DPA. In caso di conflitto o incongruenza tra questo DPA e le Clausole Contrattuali Standard EEA, queste ultime prevarranno solo in relazione ai Trasferimenti Ristretti EEA. Dove le Clausole Contrattuali Standard EEA richiedono alle parti di scegliere tra clausole opzionali e di inserire informazioni, le parti hanno scelto come indicato di seguito:
La Clausola Opzionale 7 “Clausola di adesione” non sarà adottata.
Per la Clausola 9 “Uso di sub-processori”, le parti scelgono la seguente opzione: “Opzione 2 Autorizzazione scritta generale: L'importatore di dati ha l'autorizzazione generale del controllore per l'ingaggio di sub-processore(i) da un elenco concordato. L'importatore di dati informerà specificamente il controllore per iscritto di eventuali modifiche intese a quell'elenco attraverso l'aggiunta o la sostituzione di sub-processori almeno 30 giorni di calendario in anticipo, fornendo così al controllore tempo sufficiente per poter opporsi a tali modifiche prima dell'ingaggio del sub-processore(i). L'importatore di dati fornirà al controllore le informazioni necessarie per consentire al controllore di esercitare il suo diritto di obiezione. L'importatore di dati informerà l'esportatore di dati dell'ingaggio del sub-processore(i).
”Per la Clausola 11 (a) “Rimedi”, le parti non adottano l'opzione.
Per la Clausola 17 “Legge governativa”, le parti scelgono la seguente opzione: “Opzione 1. Queste Clausole saranno governate dalla legge di uno degli Stati Membri dell'UE, a condizione che tale legge consenta diritti di beneficiario terzo. Le Parti concordano che questa sarà la legge dei Paesi Bassi.
”Per la Clausola 18 (b) “Scelta del Foro e Giurisdizione”: “Le Parti concordano che queste saranno le corti dei Paesi Bassi.
”Clausole Contrattuali Standard UK. Le parti concordano di conformarsi alle Clausole Contrattuali Standard UK per qualsiasi Trasferimento Ristretto dal UK (un “Trasferimento Ristretto UK”). SparkPost sarà considerato l'importatore di dati e il Cliente sarà considerato l'esportatore di dati ai sensi delle Clausole Contrattuali Standard UK. La firma di ciascuna parte di questo DPA sarà considerata la firma delle Clausole Contrattuali Standard UK, che saranno considerate incorporate in questo DPA. I dettagli richiesti ai sensi dell'Annex 1 e Annex 2 delle Clausole Contrattuali Standard UK sono disponibili nell'Allegato 1 e Allegato 2 di questo DPA. In caso di conflitto o incongruenza tra questo DPA e le Clausole Contrattuali Standard UK, queste ultime prevarranno solo in relazione ai Trasferimenti Ristretti UK.
Cooperazione.
Se SparkPost non è in grado di conformarsi a questo requisito o se le autorità o i tribunali competenti cessano di riconoscere le Clausole Contrattuali Standard EEA o le Clausole Contrattuali Standard UK, come applicabile, quindi che forniscono un adeguato livello di protezione, SparkPost informerà il Cliente e coopererà ragionevolmente con il Cliente per assicurarsi che qualsiasi Elaborazione di Dati Personali sia conforme alle Leggi sulla Protezione dei Dati e a eventuali restrizioni di trasferimento in esse, inclusa l'ottenimento di certificazioni alternative, come applicabile e necessario.
Meccanismo Alternativo di Trasferimento.
Le parti concordano che la soluzione di esportazione dei dati identificata nella Sezione 7.2 (Clausole Contrattuali Standard) non si applicherà se e nella misura in cui SparkPost adotta o mantiene una soluzione alternativa di esportazione dei dati per il trasferimento lecito dei Dati Personali (come riconosciuto dalle Leggi sulla Protezione dei Dati) al di fuori dell'EEA e/o UK e che è stata approvata dal Cliente per iscritto prima di qualsiasi trasferimento o altro Trattamento di Dati Personali (“Meccanismo Alternativo di Trasferimento”), nel qual caso, il Meccanismo Alternativo di Trasferimento si applicherà invece (ma solo nella misura in cui tale Meccanismo Alternativo di Trasferimento si estenda ai territori in cui i Dati Personali sono trasferiti).
Sicurezza aggiuntiva
Riservatezza del Trattamento.
SparkPost garantirà che qualsiasi persona autorizzata da SparkPost a trattare Dati Personali (compreso il suo personale, agenti e subappaltatori) sia soggetta a un'appropriata obbligazione di riservatezza (sia essa un dovere contrattuale o legale).
Risposta e Notifica agli Incidenti di Sicurezza.
Dopo essere venuto a conoscenza di un Incidente di Sicurezza, SparkPost notificherà il Cliente senza ingiustificato ritardo e fornirà tempestivamente informazioni relative all'Incidente di Sicurezza man mano che diventano note o come ragionevolmente richiesto dal Cliente.
Restituzione o cancellazione dei dati
Alla cessazione o scadenza dell'Accordo, SparkPost eliminerà o restituirà (a discrezione del Cliente) al Cliente tutti i Dati Personali (comprese le copie) in suo possesso o controllo, fermo restando che questo requisito non si applicherà nella misura in cui SparkPost è tenuto dalla legge applicabile a conservare alcuni o tutti i Dati Personali, o ai Dati Personali che ha archiviato su sistemi di backup, che SparkPost isolerà e proteggerà in modo sicuro da qualsiasi ulteriore elaborazione, salvo nella misura richiesta dalla legge applicabile. COOPERAZIONE.
Indennizzo.
Entrambe le parti concordano di difendere e indennizzare l'altra (inclusi i suoi direttori, funzionari, dipendenti e agenti) da e contro qualsiasi pretesa di terzi (incluso da autorità governative e Destinatari) e relative spese e costi (incluse le spese legali ragionevoli) derivanti dalla sua effettiva o presunta violazione di questo DPA.
Richieste dei Soggetti dei Dati.
Il Servizio fornisce al Cliente una serie di controlli che il Cliente può utilizzare per recuperare, correggere, eliminare o limitare i Dati del Cliente, che il Cliente può utilizzare per assisterlo in relazione ai suoi obblighi ai sensi delle Leggi sulla Protezione dei Dati, inclusi, ad esempio, i suoi obblighi relativi alla risposta alle Richieste dei Soggetti dei Dati. Nella misura in cui il Cliente non è in grado di accedere autonomamente ai relativi Dati del Cliente all'interno del Servizio, SparkPost fornirà una cooperazione ragionevole per assistere il Cliente a rispondere tempestivamente a qualsiasi Richiesta del Soggetto dei Dati relativa al trattamento dei Dati Personali nell'ambito dell'Accordo entro qualsiasi termine imposto dalle Leggi sulla Protezione dei Dati. Nel caso in cui una tale richiesta venga fatta direttamente a SparkPost, SparkPost notificherà per iscritto al Cliente tale richiesta prontamente al ricevimento della stessa.
Registri del Trattamento.
Su richiesta del Cliente, SparkPost metterà a disposizione tempestivamente le informazioni necessarie richieste dal Cliente per dimostrare la conformità di SparkPost ai suoi obblighi ai sensi delle Leggi sulla Protezione dei Dati e ai sensi di questo DPA.
Richieste del Governo.
Se un'agenzia di applicazione della legge invia una richiesta a SparkPost per Dati Personali (ad esempio, tramite citazione in giudizio o ordine del tribunale), SparkPost tenterà di reindirizzare l'agenzia di applicazione della legge per richiedere tali dati direttamente al Cliente. Come parte di questo sforzo, SparkPost potrebbe fornire all'agenzia di applicazione della legge le informazioni di contatto di base del Cliente. Se costretto a divulgare i Dati del Cliente a un'agenzia di applicazione della legge, SparkPost darà al Cliente un preavviso ragionevole della richiesta per consentire al Cliente di cercare un'ordinanza protettiva o un altro rimedio adeguato, a meno che SparkPost non sia legalmente proibito dal farlo.
Valutazioni di Impatto sulla Protezione dei Dati.
Nel caso in cui SparkPost sia tenuto ai sensi delle Leggi sulla Protezione dei Dati applicabili, SparkPost fornirà informazioni ragionevolmente richieste relative al Servizio per consentire al Cliente di realizzare valutazioni di impatto sulla protezione dei dati o consultazioni preventive con le autorità di protezione dei dati come richiesto dalla legge o ai sensi degli Articoli 35 e 36 del GDPR, rispettivamente.
***
ALLEGATO 1
ALLEGATO I ALLE CLAUSOLE CONTRATTUALI STANDARD EEA
Dove applicabile, questo Allegato 1 servirà come Allegato I alle Clausole Contrattuali Standard EEA.
ALLEGATO 1, PARTE A: ELENCO DELLE PARTI
Esportatore di Dati: Cliente
Dettagli di Contatto dell'Esportatore di Dati: L'indirizzo elencato nel blocco firma del Cliente sopra, o l'indirizzo email del proprietario dell'account del Cliente, o all'indirizzo email per il quale il Cliente sceglie di ricevere notifiche ai sensi dell'Accordo.
Ruolo dell'Esportatore di Dati: Il ruolo dell'Esportatore di Dati è delineato nella Sezione 3 del DPA.
Firma & Data: L'Esportatore di Dati si considera aver firmato le Clausole Contrattuali Standard EEA incorporate nel presente documento a partire dalla Data di Effettiva del DPA.
Importatore di Dati: Message Systems, Inc. (dba SparkPost)
Dettagli di Contatto dell'Importatore di Dati: SparkPost Data Protection Officer – privacy@sparkpost.com
Ruolo dell'Importatore di Dati: Il ruolo dell'Importatore di Dati è delineato nella Sezione 3 del DPA.
Firma & Data: L'Importatore di Dati si considera aver firmato le Clausole Contrattuali Standard EEA incorporate nel presente documento a partire dalla Data di Effettiva del DPA.
ALLEGATO 1, PARTE B: DESCRIZIONE DEL TRASFERIMENTO
Le categorie di soggetti dei dati i cui dati personali sono trasferiti sono descritte nella sezione 3.4 del DPA.Le categorie di dati personali trasferiti sono descritte nella sezione 3.4 del DPA. I dati sensibili trasferiti (se applicabile) e le restrizioni o le garanzie applicate che tengono pienamente conto della natura dei dati e dei rischi coinvolti, come per esempio la limitazione rigorosa dello scopo, le restrizioni di accesso (incluso l'accesso solo per il personale che ha seguito una formazione specializzata), la registrazione degli accessi ai dati, le restrizioni per i trasferimenti successivi o misure di sicurezza aggiuntive:
NessunaLa frequenza del trasferimento (es. se i dati sono trasferiti una tantum o su base continua): I dati sono trasferiti su base continua per la durata dell'Accordo.
La natura del trattamento è descritta nella sezione 3.4 del DPA.Il/i fine/i del trasferimento dei dati e dell'ulteriore trattamento è descritto nella sezione 3.4 del DPA.
Il periodo per cui i dati personali saranno conservati, o, se ciò non è possibile, i criteri utilizzati per determinare tale periodo:
Per la durata dell'Accordo o più a lungo come richiesto dalla legge applicabile e come permesso dall'Accordo.
Per i trasferimenti a sub-responsabili del trattamento, specificare anche l'oggetto, la natura e la durata del trattamento:
Per i trasferimenti a sub-responsabili del trattamento, l'oggetto e la natura del trattamento sono delineati su https://www.sparkpost.com/policies/subprocessors/ e la durata è per la durata dell'Accordo.
ALLEGATO 1, PARTE C: AUTORITÀ DI VIGILANZA COMPETENTE
L'Autorità per la Protezione dei Dati dei Paesi Bassi (Autoriteit Persoonsgegevens) sarà l'autorità di vigilanza competente.
***
ALLEGATO 2 ANNEX II ALLE CLAUSOLE CONTRATTUALI STANDARD SEE
Dove applicabile, questo Allegato 2 servirà come Allegato II alle Clausole Contrattuali Standard. Di seguito sono fornite ulteriori informazioni riguardo alle misure tecniche e organizzative di sicurezza di SparkPost illustrate qui sotto.
Maggiori informazioni sulle misure tecniche e organizzative di sicurezza di SparkPost per proteggere i Dati del Cliente, un riepilogo dei quali è disponibile su: https://www.sparkpost.com/policies/security/ (“Security Policy”).
Misure di sicurezza tecniche e organizzative:
Misure di pseudonimizzazione e crittografia dei dati personali: SparkPost mantiene i dati dei clienti in un formato crittografato a riposo e in transito utilizzando SSL, HTTPS e TLS opportunistico, ove applicabile.
Misure per garantire la riservatezza, l'integrità, la disponibilità e la resilienza continuativa dei sistemi di elaborazione e dei servizi: SparkPost accetta di rispettare obblighi di riservatezza nei suoi accordi con i clienti. SparkPost stipula anche accordi che contengono clausole di riservatezza sostanzialmente simili con i dipendenti, i collaboratori, i fornitori e i sub-processori di SparkPost. SparkPost mantiene un'alta disponibilità e resilienza dei sistemi e dei servizi attraverso più zone di disponibilità di centri dati indipendenti da guasti. Inoltre, SparkPost ha implementato e mantiene un Piano di Continuità Operativa e di Recupero Dati per garantire che i dati dei clienti siano preservati e che i servizi possano continuare ad essere forniti.
Misure per garantire la capacità di ripristinare tempestivamente la disponibilità e l'accesso ai dati personali in caso di incidente fisico o tecnico: i dati dei clienti sono ospitati da Amazon Web Services (“AWS”), che fornisce ridondanza attraverso più zone di disponibilità. Come sopra indicato, SparkPost ha anche implementato e mantiene un Piano di Continuità Operativa e di Recupero Dati.
Processi per il test, la valutazione e il monitoraggio regolari dell'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza dell'elaborazione: SparkPost mantiene un programma di sicurezza delle informazioni scritto e completo, che include controlli fisici, tecnici e amministrativi appropriati per proteggere la sicurezza, l'integrità, la riservatezza e la disponibilità dei dati dei clienti, includendo, senza limitazioni, la protezione dei dati dei clienti contro qualsiasi acquisizione, accesso, uso, divulgazione o distruzione non autorizzata o illecita. Questo programma di sicurezza è stato progettato tenendo conto del tipo di servizi forniti da SparkPost e delle dimensioni e complessità del suo business. Oltre al nostro team di sicurezza interno che monitora costantemente la nostra sicurezza, SparkPost utilizza un terzo per condurre test di vulnerabilità e penetrazione interni ed esterni al fine di convalidare il perimetro e la postura difensiva interna con cadenza regolare.
Misure per l'identificazione e l'autorizzazione degli utenti: i dipendenti di SparkPost sono tenuti a utilizzare credenziali di accesso e password uniche per l'autorizzazione. SparkPost utilizza i principi di accesso con minimo privilegio quando assegna l'accesso ai sistemi, tenendo conto della funzione lavorativa, del ruolo e delle responsabilità di ciascun dipendente nel determinare il livello e la durata appropriati dell'accesso. L'accesso richiede l'approvazione prima della fornitura e viene prontamente rimosso in caso di cambio di ruolo o cessazione.
Misure per la protezione dei dati durante la trasmissione: i dati dei clienti vengono crittografati quando sono in transito tra Cliente e Servizi SparkPost utilizzando HTTPS. I dati dei clienti vengono crittografati quando sono in transito tra SparkPost e il destinatario utilizzando TLS opportunistico. Misure per la protezione dei dati durante l'archiviazione: i dati dei clienti vengono archiviati crittografati utilizzando lo standard Advanced Encryption Standard.
Misure per garantire la sicurezza fisica dei luoghi in cui vengono elaborati i dati personali: il quartier generale e gli uffici di SparkPost dispongono di (i) monitoraggio e sorveglianza della sicurezza fisica; (ii) controlli di ingresso per limitare l'accesso fisico; e (iii) registri dei visitatori. Tutti i collaboratori e i visitatori devono registrare il loro ingresso e uscita dagli uffici. I servizi operano su AWS e sono protetti dai controlli fisici, tecnici, organizzativi e amministrativi di Amazon. Informazioni dettagliate sulla sicurezza di AWS sono disponibili su https://aws.amazon.com/security/, https://aws.amazon.com/security/sharing-the-security-responsibility/ e https://aws.amazon.com/compliance/iso-27001-faqs/. Per i rapporti SOC di AWS, consultare https://aws.amazon.com/compliance/soc-faqs/.
Misure per garantire la registrazione degli eventi: le attività dell'infrastruttura di produzione di SparkPost vengono raccolte centralmente e protette per prevenire manomissioni e sono monitorate per anomalie da un team di sicurezza qualificato.
Misure per garantire la configurazione dei sistemi, inclusa la configurazione predefinita: SparkPost valuta le modifiche alla sua piattaforma, applicazioni e infrastruttura di produzione in modo da ridurre al minimo il rischio e tali modifiche vengono implementate solo in conformità con la Politica di Sicurezza. SparkPost svolge numerose attività relative alla sicurezza dei Servizi nelle diverse fasi del ciclo di creazione dei prodotti, dalla creazione della documentazione dei requisiti e progettazione del prodotto fino alla fase di go-live. Queste attività includono l'esecuzione di (i) revisioni interne della sicurezza prima del dispiegamento di nuovi Servizi; (ii) test di penetrazione annuali da parte di terzi indipendenti; e (iii) analisi delle minacce per i nuovi Servizi per rilevare eventuali minacce e vulnerabilità alla sicurezza. SparkPost aderisce a un processo di gestione delle modifiche per amministrare le modifiche all'ambiente di produzione per i Servizi, incluse le modifiche al suo software di base, applicazioni e sistemi. Il monitoraggio è in atto per notificare al team di sicurezza le modifiche apportate all'infrastruttura e ai servizi critici che non aderiscono ai processi di gestione delle modifiche.
Misure per la governance e la gestione della sicurezza IT interna: SparkPost mantiene un programma di sicurezza basato sulla valutazione del rischio, che include salvaguardie amministrative, organizzative, tecniche e fisiche ragionevolmente progettate per proteggere i Servizi e la riservatezza, l'integrità e la disponibilità dei dati dei clienti. Il programma di sicurezza di SparkPost è stato progettato tenendo conto della natura dei Servizi e delle dimensioni e complessità del business di SparkPost. SparkPost dispone di un team di sicurezza dedicato che gestisce il programma di sicurezza delle informazioni di SparkPost e facilita e supporta verifiche e valutazioni indipendenti eseguiti da terze parti. Il framework di sicurezza di SparkPost si basa sull'attestazione SOC2 Type II e include i seguenti criteri di servizi fiduciari: Sicurezza, Disponibilità, Riservatezza e Privacy. La sicurezza è gestita ai massimi livelli aziendali, con il VP di Conformità e Sicurezza IT che si incontra regolarmente con la direzione esecutiva per discutere questioni e coordinare le iniziative aziendali sulla sicurezza e IT. Le politiche e gli standard di sicurezza delle informazioni sono esaminate e approvate dalla direzione almeno una volta all'anno e sono messe a disposizione di tutti i dipendenti pertinenti di SparkPost per il loro riferimento.
Misure per le certificazioni/assicurazione di processi e prodotti: SparkPost conduce vari audit di terze parti per attestare vari framework tra cui SOC 2 Tipo II e test regolari di vulnerabilità delle applicazioni e di penetrazione. Misure per garantire la minimizzazione dei dati: SparkPost non memorizza il corpo del messaggio di un'E-mail dopo che è stato consegnato al Destinatario o è rimbalzato o è stato altrimenti respinto dal fornitore della casella di posta, il che di solito avviene entro pochi secondi. In caso di rifiuto o rimbalzo, SparkPost conserverà il corpo del messaggio per un periodo limitato di tempo per consentire di riprovare la trasmissione dell'Email. Se la trasmissione continua a non avere successo, il corpo del messaggio viene eliminato definitivamente. SparkPost memorizza solo i Dati Personali del Destinatario in forma grezza per un tempo limitato dopo la trasmissione di un'E-mail a un Destinatario. Dopo il periodo iniziale di conservazione, i Dati Personali vengono pseudonimizzati attraverso un hash unidirezionale e sono memorizzati solo nella loro forma pseudonimizzata. Per ulteriori informazioni su questo processo, consultare le nostre FAQ sui Dati disponibili al: https://www.sparkpost.com/policies/data-faq/. Inoltre, SparkPost ha integrato nei Servizi funzionalità self-service che consentono ai Clienti di eliminare determinati Dati Clienti, come indirizzi email dei destinatari ed eventi associati ai messaggi, su richiesta, la cui documentazione è disponibile al: https://developers.sparkpost.com/api/data-privacy/.
Misure per garantire la responsabilità: SparkPost ha adottato misure per garantire la responsabilità, inclusa l'esecuzione di audit regolari di terze parti per garantire la conformità con i nostri standard di privacy e sicurezza. SparkPost implementa anche politiche di protezione dei dati in conformità con le leggi applicabili e pubblica una panoramica della Politica di Sicurezza (collegata sopra). SparkPost ha nominato un responsabile della protezione dei dati e mantiene la documentazione delle sue attività di elaborazione, inclusa la registrazione e la segnalazione di incidenti di sicurezza che coinvolgono i dati personali, ove applicabile.
Misure per consentire la portabilità dei dati e garantire la cancellazione: i clienti hanno rapporti diretti con i loro destinatari e sono responsabili di rispondere alle richieste dei loro utenti finali che desiderano esercitare i propri diritti ai sensi delle leggi sulla protezione dei dati. SparkPost ha integrato nei Servizi funzionalità self-service che consentono ai clienti di eliminare determinati dati dei clienti, come indirizzi email dei destinatari ed eventi associati ai messaggi su richiesta, la cui documentazione è disponibile al: https://developers.sparkpost.com/api/data-privacy/. Inoltre, SparkPost ha integrato funzionalità self-service per sopprimere future E-mail ai destinatari (ad es., annullare l'iscrizione), la cui documentazione è disponibile al https://developers.sparkpost.com/api/suppression-list/. Nella misura in cui il cliente non è in grado di accedere autonomamente ai dati dei clienti pertinenti all'interno del servizio, SparkPost fornirà ragionevole cooperazione per aiutare il cliente a rispondere tempestivamente a qualsiasi richiesta di soggetto dei dati riguardante l'elaborazione dei dati personali ai sensi dell'accordo entro qualsiasi scadenza imposta dalle leggi sulla protezione dei dati. Nel caso in cui una tale richiesta venga fatta direttamente a SparkPost, SparkPost consiglierà al soggetto dei dati di presentare la richiesta al cliente, e il cliente sarà responsabile di rispondere a qualsiasi richiesta di questo tipo.
Per i trasferimenti a [sub]-processori, descrivere anche le misure tecniche e organizzative specifiche da adottare dal [sub]-processore per fornire assistenza al controllore e, per i trasferimenti da un processore a un [sub]-processore, al esportatore di dati: quando SparkPost coinvolge un sub-processore ai sensi di questo DPA, SparkPost e il sub-processore stipulano un accordo con termini di protezione dei dati sostanzialmente simili a quelli contenuti nel presente documento.
V2.0 2 novembre 2021